Synergy of Trustworthy Efforts and Leadership

  1. Главная
  2. Решения и направления
  3. Системы управления информационной безопасностью и непрерывностью бизнес-процессов

Системы управления информационной безопасностью и непрерывностью бизнес-процессов

Системы управления информационной безопасностью и непрерывностью бизнес-процессов

Система управления информационной безопасностью (Information Security Management System) является частью общей системы управления, базирующейся на анализе рисков и предназначенной для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности. Систему составляют организационные структуры, политика, действия по планированию, обязанности, процедуры, процессы и ресурсы.

Основными целями информационной безопасности являются:

  • конфиденциальность информации, т.е. необходимость введения ограничений доступа к данной информации для определенного круга лиц;
  • невозможность несанкционированного доступа к информации, т.е. ознакомления с конфиденциальной информацией посторонних лиц;
  • целостность информации и связанных с ней процессов (создание, ввод, обработка и вывод), которая заключается в ее существовании в неискаженном виде (неизмененном по отношению к некоторому фиксированному ее состоянию);
  • доступность информации, т.е. способность обеспечивать своевременный и беспрепятственный доступ лиц к интересующей их информации;
  • минимизация рисков информационной безопасности путем выполнения компенсационных мероприятий;
  • учет всех процессов, связанных с рисками.

Достижение заданных целей осуществляется в ходе решения следующих задач:

  • ввода в систему терминов информационной безопасности;
  • классификации информационных ресурсов предприятия;
  • определения владельцев процессов, ответственных за информационную безопасность;
  • разработки спектра рисков информационной безопасности и проведения их экспертных оценок;
  • определения группы доступа к информационным ресурсам;
  • разработки системы управления рисками информационной безопасности (методы и их оценка);
  • составления перечней административных и технических мероприятий для минимизации и компенсации рисков;
  • осуществления мероприятий информационной безопасности и периодического контроля за состоянием рисков;
  • обеспечения физической безопасности и безопасности персонала;
  • разработки требований к информационной системе с точки зрения информационной безопасности;
  • контроллинга информационной безопасности на предприятии.

Выделяются четыре стадии реализации системы управления информационной безопасностью:

1) формирование политики в области рисков;

2) анализ бизнес-процессов;

3) анализ рисков;

4) формирование целевой концепции.

Формирование политики в области рисков подразумевает определение принципов управления ими для всего предприятия в целом. Эти принципы базируются на целях предприятия, его стратегии, также на требованиях, предъявляемых законом и стандартами в области информационной безопасности. Фактором эффективности системы управления информационной безопасностью является ее построение на базе международных стандартов ISO/IEC 17799:2005 и ISO/IEC 27001:2005.

Стандарт ISO/IEC 17799:2005 определяет принципы и является руководством по разработке, внедрению, сопровождению и улучшению системы управления информационной безопасностью, а также описывает механизмы определения целей контроля и его средств в следующих областях:

  • политика безопасности (установление принципов управления и средств обеспечения защиты информации);
  • управление непрерывностью бизнес-процессов (предотвращение вмешательства в деловые операции и защита процессов обработки информации от последствий серьезных неисправностей или катастроф);
  • соблюдение правовых норм (исключение нарушений уголовного и гражданского права, установленных законом обязательств, регулятивных или контрактных обязательств, а также требований по безопасности);
  • организация активов и ресурсов (управление защитой информации внутри организации);
  • физическая безопасность и безопасность окружающей среды (предотвращение несанкционированного доступа, повреждения и проникновения в служебные помещения или вмешательства в деловую информацию);
  • классификация и управление активами (выявление и защита информационных активов);
  • защита персонала (снижение рисков, связанных с ошибкой оператора, кражей, мошенничеством или злоупотреблением оборудованием);
  • управление доступом (контроль доступа к информации);
  • управление средствами связи и эксплуатацией оборудования (корректное и безопасное функционирование средств обработки информации);
  • разработка и обслуживание систем (внедрение средств защиты в информационные системы).

Стандарт ISO/IEC 27001:2005 устанавливает требования к системе управления информационной безопасностью предприятия, является руководством по определению, минимизации и управлению опасностями и угрозами, которым может подвергаться информация, и разработан в целях обеспечения помощи в выборе эффективных и адекватных средств для его защиты. Применение стандарта ISO/IEC 27001:2005 на предприятии позволяет:

  • установить требования и цели в области информационной безопасности;
  • гарантировать уверенность в том, что управление рисками в области информационной безопасности является эффективным, а также то, что деятельность предприятия соответствует законодательству и другим нормативным документам;
  • реализовать процесс контроля за внедрением системы управления информационной безопасностью;
  • идентифицировать и отслеживать существующие процессы управления информационной безопасностью;
  • руководству предприятия определить состояние процессов управления защитой информации;
  • внутренним и внешним аудиториям установить уровень соответствия политики безопасности регламентам;
  • обеспечить партнеров и поставщиков соответствующей информацией о стандартах, процедурах и политике предприятия.

Модель системы информационной безопасности предприятия – это совокупность внешних и внутренних факторов, их влияние на состояние информационной безопасности предприятия и обеспечение сохранности ресурсов. На рис. 9.5 приводится модель системы информационной безопасности предприятия, в которой представлены направления воздействия между следующими факторами:

  • угрозами информационной безопасности, которые характеризуются вероятностью возникновения и реализации;
  • уязвимостью системы информационной безопасности, влияющей на вероятность реализации угрозы;
  • рисками, отражающими предполагаемый ущерб в результате реализации угрозы информационной безопасности.

Информация и материальные ресурсы, которые необходимо защищать, называются объектами защиты. К ним относятся:

  • речевая информация;
  • информация, хранимая и обрабатываемая посредством средств связи в виде различных носителей;
  • документы на бумажных носителях;
  • технические средства связи и информатизации;
  • помещения, предназначенные для обсуждения, обработки и хранения информации;
  • информационные системы в целом, включая системы связи;
  • документация на технические и программные средства связи и информатизации;
  • программные средства.

Угрозы, с которыми может столкнуться предприятие, классифицируются по природе их возникновения, т.е. угрозы случайного или преднамеренного характера, и по тому, как они относятся к защищаемому объекту, т.е. внешние и внутренние угрозы.

Источниками внешних угроз являются:

  • деятельность конкурентов по перехвату важной информации;
  • преднамеренные действия по разрушению, уничтожению или модификации информации;
  • непреднамеренные действия сотрудников сторонних организаций, повлекшие за собой отказ в работе элементов системы;
  • стихийные бедствия и катастрофы, аварии, экстремальные ситуации.

К источникам внутренних угроз относятся:

  • отсутствие координации деятельности подразделений предприятия в сфере защиты информации;
  • преднамеренные действия персонала по уничтожению или модификации информации;
  • непреднамеренные ошибки персонала, отказы технических средств и сбои в информационных системах;
  • нарушения установленных регламентов сбора, накопления, хранения, обработки, преобразования, отображения и передачи информации.

Нарушения могут быть нескольких видов.

Организационно-правовые нарушения – нарушения, связанные с отсутствием единой согласованной политики предприятия в сфере защиты информации, невыполнением требований нормативных документов, режимом доступа, хранения и уничтожения информации.

Организационные виды нарушений включают несанкционированное получение доступа к базам и массивам данных, несанкционированный доступ к активному сетевому оборудованию, серверам, некорректное встраивание средств защиты и ошибки в управлении ими, нарушения в адресности рассылки информации при ведении информационного обмена.

Под физическими видами нарушений подразумеваются повреждение аппаратных средств автоматизированных систем, линий связи и коммуникационного оборудования, кражи или несанкционированное ознакомление с содержанием носителей информации, их хищение.

К радиоэлектронным видам нарушений относятся внедрение электронных устройств перехвата информации, получение информации путем перехвата и дешифрования информационных потоков, фотографирование мониторов, навязывание ложной информации в локальных вычислительных сетях, передаче данных и линиях связи.

Для противодействия угрозам и пресечения нарушений на предприятиях организуется процесс управления рисками, который является основой системы информационной безопасности предприятия.

Построение эффективной системы информационной безопасности – это комплексный процесс, направленный на минимизацию внешних и внутренних угроз при учете ограничений на ресурсы и время.

С точки зрения процессного подхода систему информационной безопасности предприятия можно представить как процесс управления рисками (рис. 9.6), который включает в себя следующие составляющие.

  • Описание бизнес-процессов. Выполняется корректировка и анализ бизнес-процессов. По критериям, которые определяются в ходе формирования политики в области рисков, осуществляется идентификация бизнес-процессов.
  • Сбор рисков. Проводится для выявления степени подверженности предприятия угрозам, которые могут нанести существенный ущерб. Для этого осуществляется анализ его бизнес

процессов и опрос экспертов предметной области. Результатом (выходом) данного процесса считается классификационный перечень всех потенциальных рисков.

К стандартным рискам информационной безопасности относятся:

  • изъятие конфиденциальной информации с локальных мест;
  • преднамеренное изменение информации с целью уничтожения;
  • копирование важных документов и передача конкуренту;
  • незаконное проникновение в корпоративную сеть;
  • уничтожение по техническим причинам.
  • Оценка рисков. Определяются характеристики рисков и ресурсы информационной системы. Основным результатом (выходом) данного процесса является перечень всех потенциальных рисков с их количественными и качественными оценками ущерба и возможности реализации, а дополнительным – перечень рисков, которые не будут отслеживаться на предприятии.

Процесс оценки рисков состоит из следующих шагов:

  • описание объекта и мер защиты;
  • идентификация ресурса и определение его количественных показателей;
  • анализ угроз информационной безопасности;
  • оценка уязвимостей;
  • оценка существующих и предполагаемых средств обеспечения информационной безопасности.
  • Планирование мероприятий. Целью планирования мероприятий по минимизации рисков является определение сроков и перечня работ по исключению или минимизации ущерба в случае минимизации риска.

Выделяются следующие виды мероприятий по информационной безопасности:

  • организационные;
  • правовые;
  • организационно-технические;
  • программные;
  • инженерно-технические.
  • Реализация мероприятий. Под реализацией мероприятий по минимизации рисков подразумеваются выполнение запланированных работ, контроль качества полученных результатов и сроков. Результатом данного процесса являются выполненные работы по минимизации рисков и время их проведения.
  • Оценка эффективности. Оценка эффективности системы управления информационной безопасностью – это системный процесс получения и оценки объективных данных о текущем состоянии системы, действиях и событиях, происходящих в ней, устанавливающий уровень их соответствия определенным критериям.

Целями процесса являются:

  • оценка текущего уровня эффективности системы;
  • локализация «узких» мест в системе;
  • оценка соответствия системы предприятия существующим стандартам в области информационной безопасности;
  • выработка рекомендаций и регламентов по обеспечению безопасности объектов защиты.

Результаты процесса могут использоваться в целях аудита для подготовки предприятия к сертификации по стандарту ISO/ IEC 27001:2005.