Управление бизнес-процессами и развитием информационных технологий |
|||
18. Построение эффективной системы управления информационной безопасностью компании В. Беркович А.К. Коптелов Проблемы теории и практики управления,– 2006. – № 6. – С. 76–86 |
|||
Построение эффективной системы управления информационной безопасностью компании
Андрей Коптелов, директор департамента ИТ-консалтинга компании ООО «ИДС ШЕЕР» (Москва) Вадим Беркович, консультант департамента ИТ-консалтинга ООО «ИДС ШЕЕР» (Москва) Термины и определенияДля однозначного толкования всех используемых терминов введем некоторые понятия и определения: Угроза - это потенциально возможное происшествие, неважно, преднамеренное или нет, которое может оказать нежелательное воздействие на бизнес-процессы компании, информационные системы, а также на информационные активы компании. Иначе говоря, угроза - это нечто плохое, что когда-нибудь может произойти. Уязвимость информационной системы - тот или иной ее недостаток, из-за которого становится возможным нежелательное воздействие на нее со стороны злоумышленников, неквалифицированного персонала и вредоносного кода (например, вирусов или шпионского программного обеспечения). Риск - возможность возникновения некоторой угрозы, связанной с текущей деятельностью компании (как вариант – с реализацией принятого решения). Риск – это комбинация вероятности события и его последствий (ISO/IEC 17799). Риск отражает возможные прямые или косвенные финансовые потери. Процесс, бизнес-процесс - cвязанный набор повторяемых действий (функций), которые преобразуют исходный материал и (или) информацию в конечный продукт (услугу) в соответствии с предварительно установленными правилами Модель - совокупность графических символов (объектов), их свойств, атрибутов и отношений между ними, которая адекватно описывает предметную область деятельности предприятия.
Аннотация
В данной статье рассмотрены основные вопросы построения эффективной системы управления информационной безопасностью предприятия. Рассмотрены стандарты в области управления информационной безопасностью и представлена методология управления рисками нарушения информационной безопасности. Рассмотрены такие понятия как защищаемый объект, угрозы, уязвимости и процесс управления рисками. Введение
В последние годы многие российские компании хорошо осознали необходимость управления информационной безопасностью предприятия. Эффективное управление вопросами информационной безопасности приобретает все большее значение для российских компаний по мере их роста и продвижения на новые рынки товаров и услуг. Клиентам важно знать, что соблюдается конфиденциальность их персональных и деловых данных. Инвесторам необходима уверенность в том, что бизнес и информационные активы компании защищены. Деловые партнеры ожидают, что компания будет функционировать без сбоев, которые могут быть вызваны ошибками в работе информационных систем, умышленными или неумышленными действиями персонала, вредоносным программным обеспечением и другими факторами. Как правило, главными препятствиями на пути обеспечения информационной безопасности являются ее невысокая приоритетность при распределении ресурсов и бюджетные ограничения. Компании нередко выделяют единый бюджет на удовлетворение всех потребностей по информационным системам (аппаратное и программное обеспечение, зарплата, консультанты и т.п.), что способствует развитию тенденции выделять основную часть средств на повышение производительности. При этом нередко вопросы информационной безопасности остаются без внимания. Выборочная и бессистемная реализация средств безопасности не сможет обеспечить необходимого уровня защиты. Чтобы надежно защитить важнейшую деловую информацию, компаниям необходимо интегрировать вопросы физической и информационной безопасности в единый для всей организации процесс – процесс управления информационной безопасностью предприятия. В данной статье авторы попытались представить системный подход к построению эффективной системы информационной безопасности. Стратегия безопасности
Система управления информационной безопасностью (Information Security Management System, ISMS) - это часть общей системы управления, базирующаяся на анализе рисков и предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Эту систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы. Наиболее значимой целью большинства систем информационной безопасности является защита бизнеса и знаний компании от уничтожения или утечки. Также одной из основных целей системы информационной безопасности является гарантия имущественных прав и интересов клиентов. В то же время меры по информационной безопасности не должны ограничивать или затруднять процессы обмена знаниями в компании, поскольку это может поставить под угрозу развитие организации.
Система управления информационной безопасностью должна обеспечивать гарантию достижения таких целей как обеспечение конфиденциальности критической информации, обеспечение невозможности несанкционированного доступа к критической информации, целостности информации и связанных с ней процессов (создания, ввода, обработки и вывода) и ряда других целей.
Достижение заданных целей возможно в ходе решения следующих основных задач, таких как определение ответственных за информационную безопасность, разработка спектра рисков информационной безопасности и проведение их экспертных оценок, разработка политик и правил доступа к информационным ресурсам, разработка системы управления рисками информационной безопасности, в том числе методы их оценки, контроллинг информационной безопасности на предприятии. Следует отметить, что здесь перечислен не полный список.
Выделяется четыре стадии реализации системы управления информационной безопасностью: 1. Формирование политики в области рисков. 2. Анализ бизнес-процессов. 3. Анализ рисков. 4. Формирование целевой концепции. и две стадии дальнейшего управления рисками: 1. Отчеты по рискам. 2. Контроль рисков.
Формирование политики в области рисков подразумевает определение принципов управления рисками для всей компании в целом. Эти принципы базируются на целях компании, ее стратегии, а также на требованиях, предъявляемых законом и стандартами в области информационной безопасности. Одним и ключевых факторов успешности системы управления информационной безопасностью предприятия - это построение ее на базе международных стандартов ISO/IEC 17799:2005 и ISO/IEC 27001:2005
Стандарт в области информационной безопасностиИстория стандартов в области информационной безопасности началась в середине 90-х годов. Британский институт стандартов (BSI) при участии коммерческих организаций, начал разработку стандарта управления информационной безопасностью. Результатом работы BSI в 1995 году, стало принятие национального британского стандарта BS 7799 управления информационной безопасностью организации. Стандарт состоял из двух частей: первая часть стандарта (BS 7799:1) носила рекомендательный характер, а вторая (BS 7799:2) - предназначалась для сертификации и содержала ряд обязательных требований, не входивших в первую часть. В 1999 году в международной организации по стандартизации ISO было принято решение взять за основу стандарта в области информационной безопасности BS 7799:1. В результате вышел в свет стандарт ISO 17799, который базируется на стандарте BS 7799:1. Новейшей редакцией данного стандарта является ISO/IEC 17799:2005. Стандарт ISO/IEC 17799:2005 объединяет лучший мировой опыт управления информационной безопасностью компании. Стандарт определяет принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью. Он описывает механизмы установления целей по контролю и определению средств контроля в различных областях управления информационной безопасностью. Изначально была предусмотрена только сертификация по стандарту BS 7799:2. Процедура сертификации по стандарту ISO появилась после выхода в 2005 году стандарта ISO 27001:2005. Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия. Стандарт является руководством по определению, минимизации и управлению опасностями и угрозами, которым может подвергаться информация. Стандарт ISO/IEC 27001:2005 разработан для обеспечения помощи в выборе эффективных и адекватных средств и обеспечения уверенности потребителей и партнеров организации в том, что информация защищена должным образом. Стандарт может применяться в большинстве организаций независимо от рода их деятельности. Организация, использующая ISO/IEC 27001:2005 в качестве основы для системы управления информационной безопасностью, может быть зарегистрирована в Британском институте стандартов BSI (British Standards Institute), что продемонстрирует всем заинтересованным сторонам, что система управления информационной безопасностью предприятия компании отвечает всем требованиям международного стандарта. Модель системы информационной безопасности предприятия
Рассмотрим основные компоненты модели системы информационной безопасности.
Рис 1. Модель системы информационной безопасности предприятия Представленная на рис. 1. модель информационной безопасности - это совокупность внешних и внутренних факторов и их влияние на состояние информационной безопасности в компании и на обеспечение сохранности ресурсов (материальных или информационных). Прямоугольниками на рисунке представлены внешние и внутренние факторы. Пунктирными стрелками указаны направления управляющего воздействия, а сплошными – естественного. Рассматриваются такие факторы как: · угрозы информационной безопасности. Они характеризуются вероятностью возникновения и реализации; · уязвимости системы информационной безопасности, которые влияют на вероятность реализации угрозы; · убытки, отражающие реальный ущерб в результате реализации угрозы информационной безопасности. · риски, отражающие предполагаемый ущерб организации в результате реализации угрозы информационной безопасности. Объекты защитыНеобходимо четко понимать, что следует защищать и от каких угроз. Информация и материальные ресурсы, которые необходимо защищать, называются объектами защиты. К ним относится речевая информация, информация, хранимая и обрабатываемая посредством средств связи и информатизации в виде различных носителей информации, документы на бумажных носителях и т.д.; Виды угрозРассмотрим подробнее, с какими угрозами может столкнуться современное предприятие и как может нарушаться его информационная безопасность. Рис. 2. Классификация угроз Угрозы классифицируются по природе возникновения (угрозы случайного или преднамеренного характера) и по тому, как они относятся к защищаемому объекту (внешние и внутренние угрозы). На рис. 2 представлена одна из наиболее популярных классификаций угроз. Виды нарушенийНарушения могут быть нескольких видов (рис. 3). Рис. 3. Виды нарушений
Организационно-правовые виды нарушений - это нарушения, связанные отсутствием единой согласованной политики компании в сфере защиты информации, невыполнением требований нормативных документов, нарушением режима доступа, хранением и уничтожения информации. Информационные виды нарушений включают несанкционированное получение полномочий доступа к базам и массивам данных, несанкционированный доступ к активному сетевому оборудованию, серверам доступа, некорректное применение средств защиты и ошибки в управлении ими, нарушения в адресности рассылки информации при ведении информационного обмена Физические виды нарушений включают физическое повреждение аппаратных средств автоматизированных систем, линий связи и коммуникационного оборудования, кражи или несанкционированное ознакомление с содержимым носителей информации, хранящихся в неположенных местах, хищение носителей информации, отказы аппаратных средств и др. К радиоэлектронным видам нарушений относятся такие нарушения, как внедрение электронных устройств перехвата информации, получение информации путем перехвата и дешифрования информационных потоков, дистанционная видеозапись (фотографирование) мониторов, компьютерных распечаток, клавиатуры, навязывание ложной информации в локальных вычислительных сетях, сетях передачи данных и линиях связи. Для противодействия угрозам и пресечения нарушений на предприятии целесообразно организовать процесс управления рисками компании. Данный процесс является ядром системы информационной безопасности компании и включает такие подпроцессы как · сбора рисков; · оценки угроз; · оценки уязвимостей; · оценки убытков; · определение порога для управления рисками; · реализации мероприятий информационной безопасности; · оценки эффективности полученных результатов (процесс аудита).
МетодологияПостроение эффективной системы управления информационной безопасностью - это не разовый проект, а комплексный процесс, наплавленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время. Для построения эффективной системы информационной безопасности необходимо первоначально описать процессы деятельности (рис. 4). Затем следует определить порог риска - уровень угрозы, при котором она попадает в процесс управления рисками. Требуется построить такую систему информационной безопасности, которая обеспечит достижение заданного уровня риска.
Рис. 4. Модель процесса управления рисками для системы информационной безопасности предприятия С точки зрения процессного подхода систему информационной безопасности предприятия можно представить как процесс управления рисками (рис. 4). На данном рисунке прямоугольниками показаны обобщенные процессы верхнего уровня, а стрелками показаны их входы и выходы. Цель любого бизнес-процесса состоит в создании выхода для получения вознаграждения в виде другого выхода. В данном случае выходом является исключение наступления рисковой ситуации или минимизация ее последствий, а вознаграждением - сохранение материальных и финансовых ресурсов. Немаловажная характеристика выхода - его востребованность стороной, не являющейся его производителем. Иными словами, на данный выход должен быть спрос. Когда существуют угрозы - существует и спрос на защиту от них, а значит, необходимо внедрять процесс управления рисками. Управление рискамиОдним из наиболее известных подходов к управлению рисками является метод CRAMM (the UK Goverment Risk Analysis and Managment Method). Данный метод был разработан Службой Безопасности Великобритании (UK Security Service) по заданию Британского правительства и принят в качестве государственного стандарта. Он используется, начиная с середины 80-х годов прошлого века как правительственными, так коммерческими организациями. За прошедшие годы CRAMM приобрел популярность во всем мире. В основе метода CRAMM лежит комплексный подход к оценке рисков, сочетая количественные и качественные методы анализа. Данный метод является обобщенным и подходит для большинства организаций. Одним из наиболее важных результатов использования метода CRAMM является получение возможности экономического обоснования расходов организации на обеспечение информационной безопасности и непрерывности бизнеса. В конечном итоге, экономически обоснованная стратегия управления рисками позволяет минимизировать издержки и избегать неоправданных расходов. Поясним ключевые моменты управления рисками на примере. Для начала изложим общий сценарий. Допустим, возникла возможность угрозы несанкционированного доступа к финансовой информации в связи с обнаруженной уязвимостью в учетной системе, которая принимает электронные заказы через Интернет. На основе информации об уязвимостях информационной системы изучается вопрос о возможности реализации риска и экономической целесообразности определения мероприятий по его минимизации (если мероприятия по предотвращению рисков стоят дороже, чем ущерб от реализации угрозы, то, скорее всего, мероприятия применять нецелесообразно). После оценки важности риска планируются необходимые мероприятия и выделяются необходимые ресурсы. После планирования реализуются контрмеры в соответствии с графиком работ. Затем оценивается их эффективность. Перед тем как создавать корпоративную систему управления рисками, необходимо описать критически важные бизнес-процессы. В рамках данного процесса выполняется анализ и корректировка бизнес-процессов. В нашем примере это может быть процесс приема электронных заказов, в рамках которого база клиентов организации доступна через Интернет. На этапе разработки и внедрения системы управления информационной безопасностью, помимо моделей критических бизнес-процессов, может быть используется инструментарий Process Risk Assistant, относящийся к семейству продуктов ARIS[1], предназначенный для методологического обеспечения и содержащий детальное руководство по внедрению системы управления информационной безопасностью. После более детального анализа процесса и выявления потенциальных угроз необходимо сформировать перечень рисков, которые необходимо минимизировать.
Целью процесса сбора (идентификации) рисков является выявление подверженности организации угрозам, которые могут нанести существенный ущерб. Для сбора рисков производится анализ бизнес-процессов компании и опрос экспертов предметной области. Результатом (выходом) данного процесса является классифицированный перечень (список) всех потенциальных рисков. В представленном примере угроза несанкционированного доступа к финансовой информации представляет собой исходные данные для идентификации, например, такого риска как «Утечка информации о клиентах к конкурентам через незащищенный канал связи». В связи с тем, что последствия от различных угроз неравноценны, недостаточно идентифицировать риск. Необходимо также оценить величину угрозы и возможность реализации риска, например, в виде прямых или косвенных убытков в денежном выражении, а также вероятность риска.
Цель процесса оценки рисков состоит в определении характеристик рисков в информационной системе и ее ресурсах. Основным результатом (выходом) данного процесса является перечень (список) всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации. Дополнительным результатом данного процесса является перечень рисков, которые не будут отслеживаться в организации Все данные, которые важны с точки зрения управления рисками, моделируются, например, с помощью вышеупомянутого программного обеспечения ARIS. Инструментарий под названием «Портал рисков» (Process risk portal) обеспечивает пользователю возможность проведения графического анализа и оценки рисков процессов. Кроме того, процессы внутри компании становятся прозрачными, а данные по управлению рисками - общедоступными, что и помогает сотрудникам осуществлять постоянный мониторинг существующих рисков и выявлять новые. На основе таких данных выбираются необходимые средства управления информационной безопасностью. Для нашего примера: если величина и возможность убытков для риска «Утечка информации о клиентах к конкурентам» достаточно велика, то целесообразно спланировать мероприятия по минимизации риска (например, планирование процесса оперативного обновления программного обеспечения информационной системы (установка «заплаток»), формирование регламентов доступа к информации о клиентах, внедрение средств защиты от утечек конфиденциальных данных и т.д.). Целью процесса планирования мероприятий по минимизации рисков является определение сроков и перечня работ по исключению или минимизации ущерба в случае реализации риска. Данный процесс позволяет сформулировать, кто, где, когда, какими ресурсами и какие угрозы будит минимизировать. Результатом (выходом) процесса планирования является план-график работ по исключению или минимизации ущерба от реализованного риска. Например, «До 10.10.06 установить пакет обновлений Service Pack 2 для операционной системы Windows XP на все рабочие станции компании. Ответственный: Иванов И. И.». Мало понять, что, как и когда делать, но и необходимо реализовать все запланированное «точно в срок». Поэтому целью процесса реализации мероприятий является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Результатом данного процесса являются выполненные работы по минимизации рисков и время их проведения. Целесообразно разработать планы действий на случай возникновения критической ситуации или риска. Введение в действие процессов на экстренный случай поможет не допустить убытки или минимизировать их, а также возобновить хозяйственную деятельность как можно быстрее. Затем производится оценка эффективности полученных результатов. Оценка эффективности системы управления информационной безопасностью - это системный процесс получения и оценки объективных данных о текущем состоянии систем, действиях и событиях происходящих в ней, устанавливающий уровень их соответствия определенным критериям. Ключевые показатели эффективности могут быть измерены при помощи, например, ARIS Process Performance Manager, а затем интегрированы в систему управления рисками. Также на этой стадии выполняется мониторинг заранее установленных мероприятий, нацеленных на уменьшение объема убытка или частоты появления рисков. Результаты данного процесса могут использоваться в целях аудита для подготовки компании к сертификации по стандарту ISO/IEC 27001:2005.
Заключение
В заключение следует отметить, что построение эффективной системы информационной безопасности в компании - это сложный и непрерывный процесс, от внимания к которому зависит жизнеспособность бизнеса. Для грамотного построения такой системы необходимо привлекать к участию в их создании топ-менеджмент компании, ИТ-специалистов, консультантов по данной тематике, технических специалистов. Одним из важных этапов построения системы информационной безопасности является создание эффективного механизма управления доступом к информации, т.е. решение вопросов как разграничения доступа, так и определения методов доступа. При этом необходимо понимать, что методы доступа к информации определяются характеристиками самой информации и на сегодняшний день оцениваются для российских условий как: 3-5% структурированной информации, 5-12% неструктурированной и 80-90% информации на бумажных и прочих носителях. Если для хранения и защиты структурированной информации, а также доступа к ней на сегодняшний день существуют проверенные технологии, то в случае неструктурированной информации выбор технологий существенно ограничен, тогда как решение вопросов управления бумажными архивами может оказаться непростым и затратным Хотелось бы отметить, что мероприятия по информационной безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы. [1] ARIS — это методология и базирующееся на ней семейство программных продуктов, разработанных компанией IDS Scheer AG (Германия) для структурированного описания, анализа, последующего совершенствования бизнес-процессов предприятия и управления ими, а также подготовки к внедрению сложных информационных систем.
|
|||
|