Читать книгу "Управление информационной безопасностью. Стандарты СУИБ"
Автор книги: Вадим Гребенников
Жанр: Зарубежная компьютерная литература, Зарубежная литература
Возрастные ограничения: 12+
сообщить о неприемлемом содержимом
5. Разработка СУИБ
Цель: Составить конечный план внедрения СУИБ путем разработки системы безопасности организации на основе выбранных вариантов обработки риска, а также требований, касающихся записей и документов и разработки средств управления, объединяющих меры безопасности ИКТ, физические и организационные процессы и разработку специальных требований для СУИБ.
При разработке СУИБ следует принять во внимание следующие аспекты:
– безопасность организации;
– безопасность ИКТ;
– безопасность физических объектов;
– особые требования к СУИБ.
Безопасность организации охватывает административные аспекты ИБ, включая ответственность за обработку риска.
Безопасность ИКТ охватывает аспекты ИБ, связанные с ответственностью за снижение рисков при выполнении операций с ИКТ.
Безопасность физических объектов охватывает аспекты ИБ, связанные, в частности, с ответственностью, возникающей при проработке физического окружения, например, зданий и их инфраструктуры, за снижение риска.
Особые требования к СУИБ охватывают аспекты соответствии СУИБ требованиям ISO/IEC 27001 в отличие от предыдущих аспектов.
Разработку СУИБ определяют следующие процессы:
1) разработка системы ИБ организации;
2) разработка системы ИБ ИКТ и физических объектов;
3) создание условий надежного функционирования СУИБ;
4) разработка окончательного плана проекта СУИБ.
5.1. Разработка системы ИБ
Разработку системы ИБ обеспечивают следующие разработки:
– конечной структуры организации для ИБ;
– основы для документирования СУИБ;
– политики ИБ;
– стандартов и процедур обеспечения ИБ.
5.1.1. Разработка конечной структуры организации для ИБ
Необходимо сопоставить функции, роли и сферы ответственности в организации, связанные с ИБ, с обработкой рисков.
Исходные данные:
– выходные данные 1.1.2 – таблица ролей и сфер ответственности;
– выходные данные 2.3 – область действия и границы СУИБ.
– выходные данные 2.4 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ;
– выходные данные 3.3 – результаты оценки ИБ;
– выходные данные 4.1 – результаты оценки рисков;
– выходные данные 4.2 – планы обработки рисков и инцидентов;
– ISO/IEC 27002 – правила СУИБ;
– ISO/IEC 27035 – управление инцидентами ИБ.
Рекомендации: При разработке структуры организации и процессов для внутренних операций СУИБ следует попытаться создать их и обьединить с уже существующими, если это практически применимо.
Согласно стандарта ISO/IEC 27035, в первую очередь, необходимо создать группу технической поддержки, чтобы обеспечить поддержку всех аспектов информационных технологий и связанной с ними обработки информации. Как только приходит сообщение о событии ИБ, группа поддержки обрабатывает его в фазе обнаружении и оповещения.
Во вторую очередь, необходимо создать в организации специальную группу реагирования на инциденты ИБ (ГРИИБ). Целью ее создания является обеспечение организации соответствующим персоналом для оценки, реагирования иа инциденты ИБ и извлечения уроков из них, а также необходимой координации всех заинтересованных сторон и процесса обмена информацией.
Кроме того, организация обеспечить взаимодействие с внутренними подразделениями и внешними организациями, которые имеют отношение к управлению событиями, инцидентами и уязвимостями ИБ в организации.
Важно определить, какой орган в схеме обеспечения политики управления инцидентами ИБ руководитель ГРИИБ оповещает о серьезных инцидентах ИБ. Процедуры общения со СМИ и ответственность за это общение также должны быть согласованы с высшим руководством. Эти процедуры должны определить представителя организации по работе со СМИ и его взаимодействие с ГРИИБ.
Выходные данные: Документ, описывающий структуру организации, роли и сферы ответственности.
5.1.2. Разработка основы для документирования СУИБ
Необходимо проконтролировать записи и документы в системе СУИБ путем определения основы, которая позволит выполнить требования по текущему контролю записей и документов в системе СУИБ.
Исходные данные:
– выходные данные 1.3 – первоначально утвержденный проект СУИБ;
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 5.1.1 – структура организации, роли и сферы ответственности;
– ISO/IЕС 27002 – правила СУИБ.
Рекомендации: Документация по СУИБ должна включать записи решений руководства, обеспечивать возможность отслеживания действий для принятия решений и разработки политики руководством и воспроизводимость записанных результатов.
Необходимо осуществлять управление документами СУИБ и сделать их доступными персоналу. Эти действия включают:
– учреждение административной процедуры управления документами СУИБ;
– подтверждение соответствия формата документов перед изданием;
– обеспечение определения изменений и текущего состояния редакций документов;
– защита и контроль документов как информационных активов организации.
Также требуется сохранять записи состояния внедрения системы для всей фазы «PDCA», а также записи об инцидентах и событиях ИБ, записи об обучении, навыках, опыте и квалификации, внутреннем аудите СУИБ, корректирующих и предупреждающих действиях и организационные записи.
Для контроля записей необходимо выполнить следующие задачи:
– документировать меры и средства контроля и управления, требуемые для идентификации, хранения, защиты, поиска и удаления данных, и документировать продолжительность хранения;
– определить, что и в какой степени должно записываться в процессах управления организацией;
– если соответствующим законодательством определен какой-либо период хранения, он должен быть установлен в соответствии с этими требованиями.
Выходные данные:
– документ, описывающий требования к записям СУИБ и контролю документации;
– хранилища и шаблоны требуемых записей СУИБ.
5.1.3. Разработка политики ИБ
Необходимо документировать стратегическую позицию руководства и администрации, связанную с целями ИБ в отношении использования СУИБ.
Исходные данные:
– выходные данные 1.1 – приоритеты организации для разработки СУИБ;
– выходные данные 1.3 – первоначально утвержденный проект СУИБ;
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1 – требования к ИБ для процесса СУИБ;
– выходные данные 3.2 – активы в рамках области действия СУИБ;
– выходные данные 3.3 – результаты оценки ИБ;
– выходные данные 4.2 – планы обработки рисков и инцидентов;
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.1 – структура организации для ИБ;
– выходные данные 5.1.2 – основы документирования СУИБ;
– ISO/IЕС 27002 – правила СУИБ.
Рекомендации: Политика ИБ документирует стратегическую позицию организации в отношении ИБ во всей организации. Объем и структура политики ИБ должны подкреплять документы, которые используются на следующем этапе процесса для введения СУИБ.
Для больших организаций со сложной структурой (с широким спектром различных областей деятельности) может возникнуть необходимость создания общей политики и множества политик более низкого уровня, адаптированных к конкретным областям деятельности.
Предлагаемая политика (с номером версии и датой) должна быть подвергнута проверке и утверждена в организации руководством. Затем она доводится до сведения каждого работника организации надлежащим способом, чтобы стать доступной и понятной для читателей.
Выходные данные: Задокументированная и утвержденная руководством политика ИБ.
5.1.4. Разработка стандартов и процедур обеспечения ИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 4.2 – план обработки рисков,
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.1 – структура организации для ИБ;
– выходные данные 5.1.2 – основы документирования СУИБ;
– выходные данные 5.1.3 – политики ИБ;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации: В процессе разработки стандартов и процедур должны участвовать представители разных частей организации, попадающих в область действия системы СУИБ. Участники процесса должны иметь полномочия и являться представителями организации.
Стандарты и процедуры ИБ должны впоследствии использоваться в качестве основы для разработки подробных технических и оперативных процессов.
Документация должна предоставляться каждому сотруднику организации, попадающему в область действия СУИБ. Стандарты и процедуры по ИБ должны применяться ко всей организации или точно указывать, какие роли, системы и подразделения попадают под их действие.
Процесс редактирования и проверки должен быть определен на ранней стадии. Необходимо создать стратегию и технологию распространения информации об изменениях политики ИБ.
Выходные данные:
– стандарты ИБ:
– процедуры обеспечения ИБ для получения стандартов ИБ.
5.2. Разработка системы ИБ ИКТ и физических объектов
Исходные данные:
– выходные данные 2.5 – область действия и границы СУИБ;
– выходные данные 2.6 – политика СУИБ;
– выходные данные 3.2 – требования к ИБ для процесса СУИБ;
– выходные данные 3.3 – активы в рамках области действия СУИБ;
– выходные данные 3.4 – результаты оценки ИБ;
– выходные данные 4.3 – положение о применимости;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации:
Необходимо документировать следующую информацию:
– имя лица, ответственного за внедрение мер защиты;
– приоритет внедряемых мер защиты;
– задачи или действия по внедрению;
– установление времени, в течение которого должно быть внедрено средство защиты;
– лицо, перед которым нужно отчитываться о внедрении мер защиты по его завершению;
– ресурсы для внедрения (рабочая сила, требуемое пространство, затраты).
Сферы ответственности за процесс первоначального внедрения обычно включают:
– задание целей управления с описанием предполагаемого планируемого состояния;
– распределение ресурсов (объем работ, финансовые ресурсы);
– реальное заданное время внедрения мер защиты;
– варианты объединения с системами безопасности ИКТ, физических объектов и организации.
Сферы ответственности за процесс фактического внедрения включают:
– разработку каждого из средств защиты для области безопасности ИКТ, физических объектов и организации на оперативном уровне рабочего места;
– конкретизацию каждой меры защиты в соответствии с согласованным проектом;
– предоставление процедур и информации для органов управления и учебных курсов, способствующих информированию в сфере безопасности;
– оказание помощи и внедрение средств управления на рабочем месте.
ИБ должна быть объединена в процедуры и процессы, применяемые во всей организации. Если для части организации или третьей стороны окажется трудным внедрение этих процедур и процессов, соответствующие стороны должны сообщить об этом немедленно, чтобы согласовать решение проблемы. Решение по подобным вопросам включает изменение процедур или процессов, перераспределение должностей и сфер ответственности и адаптацию технических процедур.
Результаты внедрения средств ИБ должны быть следующими:
– план внедрения, в котором подробно описывается внедрение средств защиты, например, график, структура группы по внедрению и т.д.;
– записи и документация по результатам внедрения.
Выходные данные:
Структурированный подробный план внедрения средств управления, связанных с безопасностью ИКТ и физических обьектов, включает:
– подробное описание;
– сферы ответственности за разработку и внедрение;
– предполагаемые временные шкалы;
– связанные задачи;
– требуемые ресурсы;
– собственность (линии отчетности).
5.3. Создание условий для надежного функционирования СУИБ
Создание условий для надежного функционирования СУИБ предполагает разработку следующих документов:
– план проверок, проводимых руководством;
– программа обучения в области ИБ.
5.3.1. План проверок, проводимых руководством
Необходимо разработать план, обеспечивающий участие руководства и выдачу поручений на проверку работы СУИБ и проводимых улучшений.
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.3 – политики ИБ;
– ISO/IEC 27004 – проведение измерений СУИБ.
Рекомендации: Проверка руководством действия по внедрению СУИБ должна начинаться на самых ранних стадиях задания условий для СУИБ и описания случая применения СУИБ и продолжаться вплоть до регулярных проверок операций СУИБ.
Планирование проверок, проводимых руководством, включает установление времени и способа проведения проверок. Чтобы запланировать проверку, необходимо определить, какие должностные лица должны в ней участвовать. Назначенные должностные лица должны быть утверждены руководством и проинформированы об этом как можно раньше
Проверки, проводимые руководством, должны основываться на результатах измерений СУИБ и другой информации, накопленной за время использования СУИБ. Эта информация используется для выполнения действий руководством для определения готовности и эффективности СУИБ.
До проведения проверки руководством необходимо запланировать внутренний аудит. Результаты внутреннего аудита СУИБ являются важными исходными данными для проверок СУИБ, проводимых руководством.
Внутренний аудит СУИБ должен включать проверку того, эффективно ли внедряются и обеспечиваются меры защиты, процессы и процедуры СУИБ и соответствуют ли они:
– требованиям ISO/IEC 27001;
– действующему законодательству и правилам;
– другим требованиям ИБ.
Предварительным условием для проведения проверок СУИБ, проводимых руководством, являются данные его постоянного мониторинга. В процессе мониторинга СУИБ должны документироваться его результаты, которые записываются и сообщаются руководству.
Информация, предоставляемая руководству, может включать следующее:
– отчеты об инцидентах за последний период использования СУИБ;
– отчеты по внедрению СУИБ и обнаруженные несоответствия;
– результаты других регулярных проверок;
– рекомендации по улучшению СУИБ.
Выходные данные: Документ, содержащий план организации проверок, проводимых руководством, и включающий:
– исходные данные, требуемые для проверки СУИБ руководством;
– процедуры проверок, проводимых руководством и касающихся аспектов аудита, мониторинга и измерения.
5.3.2. Программа обучения в области ИБ
Исходные данные6
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 3.1, – требований к ИБ для процесса СУИБ;
– выходные данные 4.2 – план обработки рисков;
– выходные данные 4.3 – положение о применимости;
– выходные данные 5.1.3 – политики ИБ;
– выходные данные 5.1.4 – стандарты и процедуры ИБ;
– обзор общей программы обучения в организации.
Рекомендации: Руководство отвечает за обучение, чтобы сотрудники, назначенные на определенные должности, имели необходимые знания для выполнения требуемых операций. Содержание программы образования и обучения должно помогать всем сотрудникам знать и понимать значение и важность операций по обеспечению ИБ, в которых они участвуют, и то, как они могут способствовать достижению целей.
Программа обучения с целью информирования по вопросам ИБ должна обеспечивать составление записей по обучению в области ИБ. Эти записи должны регулярно проверяться для обеспечения получения требуемого обучения всеми сотрудниками. Необходимо назначить должностное лицо, ответственное за этот процесс.
Материалы по обучению в области ИБ должны быть разработаны таким образом, чтобы они были связаны с другими обучающими материалами, используемыми в организации, особенно, учебные курсы для пользователей ИС. Обучение по существенным аспектам ИБ должно включаться в каждый учебный курс для пользователей ИС.
Обучающие материалы по ИБ должны включать, как минимум, следующие пункты в зависимости от целевой аудитории:
– основные термины ИБ;
– риски и угрозы ИБ;
– четкое определение инцидента ИБ: рекомендации по его обнаружению, устранению и отчетности;
– политики ИБ, стандарты и процедуры организации;
– сферы ответственности и каналы отчетности, связанные с ИБ;
– рекомендации по оказанию помощи в повышении уровня ИБ;
– рекомендации, связанные с нарушениями ИБ и отчетностью;
– координаты получения дополнительной информации.
Необходимо определить группу по обучению ИБ, которая может выполнять следующие задачи:
– создание и управление записями по ИБ;
– составление и управления материалами по обучению;
– проведение обучения.
Выходные данные:
– материалы по обучению в области ИБ;
– формирование программ обучения в области ИБ, включая роли и сферы ответственности;
– планы обучения в области ИБ;
– записи, показывающие результаты обучения работников в области ИБ.
5.4. Разработка окончательного плана проекта СУИБ
Исходные данные:
– выходные данные 2.4 – область действия и границы СУИБ;
– выходные данные 2.5 – политика СУИБ;
– выходные данные 5.1 – разработка системы ИБ;
– выходные данные 5.2 – разработка системы ИБ ИКТ и физических объектов;
– выходные данные 5.3 – разработка ИБ, связанной с СУИБ;
– ISO/IEC 27002 – правила СУИБ.
Рекомендации: Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СУИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СУИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения.
Поскольку проект СУИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.
Выходные данные: Выходные данные этого действия представляют собой окончательный план проекта внедрения СУИБ.
5. Управление рисками иб (стандарт ISO/IEC 27005:2010)
В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799—3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».
Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR – technical report – технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.
В 2011 году была принята последняя редакция стандарта ISO/IEC 27005, в котором были пересмотрены и обновлены в соответствии с требованиями следующих документов:
– ISO 31000:2009 – Управление рисками – Принципы и руководства;
– ISO/IEC 31010:2009 – Управление рисками – Методики оценки рисков;
– ISO Guide 73:2009 – Управление рисками – Словарь.
Систематический подход к управлению рисками ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СУИБ.
Усилия по обеспечению ИБ должны эффективно и своевременно рассматривать риски там и тогда, где и когда это необходимо. Управление рисками ИБ должно быть неотъемлемой частью всех видов деятельности, связанных с УИБ, а также должен применяться для реализации и поддержки функционирования СУИБ организации.
Управление рисками ИБ должно быть непрерывным процессом. Данный процесс должен устанавливать контекст, поддерживать оценку и обработку рисков, обеспечивать использование плана обработки риска для реализации, содействовать выработке рекомендаций и решений.
Управление рисками ИБ связано с анализом того, что может произойти, и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня.
Управление рисками ИБ должно способствовать следующему:
– идентификации рисков;
– оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;
– изучению вероятности и потенциальных последствий данных рисков;
– установлению порядка приоритетов в рамках обработки рисков;
– установлению приоритетов мероприятий по снижению имеющих место рисков;
– привлечению заинтересованных сторон к принятию решений об управлении рисками и поддержанию их информированности о состоянии управления рисками;
– эффективности проводимого мониторинга обработки рисков;
– проведению регулярного мониторинга и пересмотра процесса управления рисками;
– сбору информации для усовершенствования подхода к управлению рисками;
– подготовке менеджеров и персонала в сфере управления рисками и необходимых действий, предпринимаемых для их уменьшения.
Стандарт содержит описание процесса управления рисками ИБ и связанных с ним видов деятельности, основной обзор которых даётся в разделе 6.
Все действия по управлению рисками ИБ описываются в следующих разделах:
1) установление контекста (сферы применения) – в разделе 7;
2) оценка риска – в разделе 8;
3) обработка риска – в разделе 9;
4) принятие риска – в разделе 10;
5) обмен информацией о рисках – в разделе 11;
6) мониторинг и улучшение – в разделе 12.
Все составляющие управления рисками в каждом разделе структурированы в виде входных данных, действий, руководства по реализации и выходных данных.
Входные данные: идентифицируется любая информация, требуемая для выполнения деятельности.
Действие: описывается деятельность.
Руководство по реализации: предоставляется руководство по выполнению действия.
Выходные данные: идентифицируется любая информация, полученная после выполнения деятельности.
Процесс управления рисками ИБ может быть итеративным для таких видов деятельности, как оценка риска и/или обработка риска. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой итерации. Итеративный подход даёт хороший баланс между уменьшением времени и усилия, затрачиваемого на определение средств контроля, в то же время, по-прежнему обеспечивая уверенность в том, что высокоуровневые риски рассматриваются соответствующим образом.
Контекст впервые устанавливается тогда, когда проводится оценка высокоуровневого риска. Если она обеспечивает достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача является выполненной и следует обработка риска. Если информация является недостаточной, то проводится другая итерация оценки риска с помощью пересмотренного контекста (например, критерии оценки рисков, критерии принятия рисков или критерии влияния), возможно на ограниченных частях полной области применения (точка принятия решения о приемлемости риска №1).
Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет сразу же приводить к приемлемому уровню остаточного риска. В этой ситуации может потребоваться, если необходимо, другая итерация оценки риска с изменёнными параметрами контекста (например, оценка риска, принятие риска или критерии влияния), за которой последует дополнительная обработка риска (точка принятия решения о приемлемости риска №2).
Деятельность по принятию риска должна обеспечивать уверенность в том, что остаточные риски однозначно принимаются руководством организации. Это особенно важно в ситуации, когда внедрение средств контроля не осуществляется или откладывается, например, из-за стоимости.
Важно, чтобы во время всего процесса управления рисками ИБ и их обработки осуществлялся обмен информацией относительно риска между руководством и персоналом. Даже до обработки рисков информация об идентифицированных рисках может быть очень ценной для осуществления управления инцидентами и может способствовать снижению потенциального ущерба.
На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.
Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:
