Существование большинства бизнес-процессов невозможно без информационного обеспечения. Не секрет, что большинство бизнес-процессов современной организации обеспечиваются исключительно одной или несколькими информационными системами. Внедрение системы управления информационной безопасностью (СУИБ) — важное мероприятие, целью которого является управление процессами информационного обеспечения организации и предотвращение несанкционированного использования информации.
Система управления информационной безопасностью
Требования бизнеса к ИБ оказывают воздействие на ИТ-подразделения и должны быть отражены в соглашениях об уровне сервиса (SLA — Service Level Agreement). Задачей процесса управления ИБ в данном контексте является постоянное обеспечение безопасности услуг на согласованном с партнером уровне, а информационная безопасность — важнейший показатель качества управления.
C точки зрения поставщика услуг, процесс управления информационной безопасностью способствует интеграции аспектов безопасности в ИТ-структуру. В свою очередь, принципы построения СУИБ содержатся в сборнике практических рекомендаций BS ISO 17799:2005, который дает исчерпывающее руководство для разработки, внедрения и оценки мер информационной безопасности.
Процесс управления ИБ имеет важные связи с другими процессами. Практически все виды деятельности в рамках библиотеки ITIL, сопряжены с процессом управления ИБ.
С позиций стандарта BS ISO/IEC 20000 процесс управления информационной безопасностью имеет два целеполагающих значения:
- выполнение требований безопасности, закрепленных в SLA, и других требований внешних и внутренних соглашений, законодательных актов и установленных правил;
- обеспечение базового уровня ИБ, независимого от внешних требований.
Входными данными для процесса служат SLA, содержащие требования безопасности, по возможности, дополненные документами, определяющими политику организации в этой области, а также другие внешние требования. Процесс также получает важную информацию, относящуюся к проблемам безопасности, из других процессов, например об инцидентах, связанных с ИБ.
Выходные данные включают информацию о достигнутой реализации SLA вместе с отчетами о нештатных ситуациях с точки зрения безопасности, а также информацию о регулярных мероприятиях по улучшению СУИБ.
Преимущества внедрения
Эффективное информационное обеспечение с адекватной защитой информации важно для организации по ряду причин.
Во-первых, эффективное функционирование организации возможно только при наличии доступа к точной и полной информации. Уровень ИБ должен соответствовать этому принципу.
Во-вторых, в результате деятельности организации создаются продукты и услуги, которые доступны рынку или обществу и нужны для выполнения определенных задач.
Неадекватное информационное обеспечение влечет производство некачественных продуктов и услуг, которые не могут использоваться для выполнения соответствующих задач и ставят под угрозу существование организации или безопасность зависящих от нее процессов.
Процессный подход
Управление ИБ, в рамках управления организацией в целом, сводится к перманентно функционирующему циклу PDCA.
Поставщик услуг доводит соглашения до заказчика в форме плана по обеспечению ИБ, определяющего критерии безопасности или операционные соглашения об уровне услуг. Этот план исполняется, результаты оцениваются.
Затем план и способы его реализации корректируются, о чем сообщается заказчику.
Таким образом, заказчик и поставщик услуг совместно участвуют в формировании всего жизненного цикла процесса.
Заказчик может изменить требования на основе получаемых отчетов, а поставщик услуг может корректировать план или его реализацию на основе результатов наблюдения или поставить задачу изменения договоренностей, определенных в SLA. Функция контроля представлена в центре рис. 1. Далее эта диаграмма будет использоваться при описании видов деятельности процесса управления информационной безопасностью.
Рис.1. Процесс управления информационной безопасностью
Взаимодействие процессов управления
Процесс управления информационной безопасностью имеет связи с другими процессами управления (см. рис. 2), так как в других процессах выполняются действия, связанные с обеспечением ИБ. Эта деятельность проводится в обычном порядке в рамках ответственности определенного процесса и его владельца. При этом процесс управления информационной безопасностью обеспечивает другие процессы инструкциями о структуре деятельности, связанной с ИБ. Обычно соглашения об этом определяются после консультаций между владельцем процесса управления информационной безопасностью и владельцами других процессов.
Рис.2. Соотношение процессов управления
Управление конфигурациями
В контексте информационной безопасности процесс управления конфигурациями позволяет классифицировать информационные активы (ИА). Эта классификация определяет связи между ИА и предпринимаемыми мерами или процедурами обеспечения ИБ.
Классификация ИА определяет их конфиденциальность, целостность и доступность. Эта классификация основана на требованиях безопасности SLA. Классификацию определяет заказчик, так как только владелец актива может решить, насколько важны информация или информационные системы для бизнес-процессов.
При создании классификации ИА заказчик учитывает степень зависимости бизнес-процессов от информационных систем и информации. Затем проводится привязка классификации к соответствующим ИА.
Следующий этап — реализация комплекса мероприятий ИБ для каждого уровня классификации. Эти комплексы мероприятий могут быть описаны как процедуры (например, «Процедура обращения с носителями данных, содержащими конфиденциальную информацию») и составлять единую систему в соответствии с требованиями к документации BS ISO/IEC 27001:2005.
В SLA определяются комплексы мер безопасности для каждого уровня классификации. Система классификации совместима со структурой организации-заказчика. Однако для упрощения управления рекомендуется использовать одну общую систему классификации, даже если организация имеет несколько разных заказчиков.
Из вышесказанного можно сделать вывод, что классификация является ключевым процессом. Каждый ИА в конфигурационной базе данных (CMDB) должен быть обязательно классифицирован. Эта классификация связывает ИА с соответствующим комплексом мер по защите информации.
Управление инцидентами информационной безопасности
Любой инцидент, который может помешать выполнению требований безопасности SLA, рассматривается как инцидент ИБ. Необходимо включать в SLA определение типов инцидентов ИБ.
Сообщения об инцидентах ИБ поступают не только от пользователей, но также от различных процессов управления.
Крайне необходимо, чтобы процесс управления инцидентами отражал все типы инцидентов ИБ. Это требуется для инициирования соответствующих процедур обработки инцидентов. Также желательно, чтобы все внешние сообщения, относящиеся к инцидентам ИБ, проходили через менеджера СУИБ.
Управление проблемами
Процесс управления проблемами отвечает за идентификацию и устранение структурных сбоев СУИБ. Проблема может привести к возникновению риска функционирования СУИБ. Управление проблемами — пролонгированный процесс, в основе которого лежит анализ событий ИБ. Для того чтобы не возникло новых проблем с ИБ, принятое окончательное или обходное решение должно быть тщательно проверено, подкреплено результатами наблюдений и выявления закономерностей.
Проверка должна основываться на соответствии предлагаемых решений требованиям SLA и внутренним требованиям ИБ.
Управление изменениями
Работы, выполняемые в рамках процесса управления изменениями, тесно связаны с ИБ, так как управление изменениями и управление информационной безопасностью взаимозависимы. Если достигнут приемлемый уровень ИБ, который находится под контролем процесса управления изменениями, то можно гарантировать, что этот уровень ИБ будет обеспечиваться и после проведения изменений. Для поддержки уровня ИБ существует ряд стандартных операций. Каждый запрос на изменения связан с рядом параметров, которые определяют процедуру внесения изменений.
Параметры срочности и степени воздействия могут быть дополнены параметром, связанным с безопасностью. Если запрос может оказать значительное воздействие на информационную безопасность, потребуются расширенные приемочные испытания и процедуры.
Мероприятия ИБ, связанные с внесением изменений, должны реализовываться одновременно с проведением самих изменений и тестироваться совместно.
Управление релизами
Процесс управления релизами осуществляет контроль и развертывание всех новых версий программного обеспечения и технических средств. Этот процесс гарантирует, что:
- используется соответствующее аппаратное и программное обеспечение;
- аппаратное и программное обеспечение тестируется перед использованием;
- внедрение надлежащим образом санкционировано с помощью процедуры изменения;
- программное обеспечение является легальным;
- программное обеспечение не содержит вирусов, и вирусы не появятся при его распространении;
- номера версий известны и зарегистрированы в CMDB процессом управления конфигурациями;
- управление развертыванием будет эффективным.
Управление уровнем сервиса
Процесс управления уровнем сервиса гарантирует, что договоренности об услугах, предоставляемых организации, определены и выполняются. В соглашениях об уровне сервиса должны учитываться меры ИБ. Целью этого является оптимизация уровня предоставляемых услуг.
Управление уровнем сервиса включает ряд видов деятельности, связанных с ИБ, в которых важную роль играет СУИБ:
- определение потребностей заказчика в области ИБ;
- проверка осуществимости требований заказчика;
- предложение, обсуждение и определение уровня обеспечения ИБ ИТ-услуг в SLA;
- определение, разработка и формулирование внутренних требований ИБ для ИТ-услуг (операционные соглашения об уровне услуг — OLA);
- мониторинг стандартов ИБ;
- составление отчетов о предоставляемых услугах.
Управление ИБ предоставляет управлению уровнем сервиса входную информацию и поддержку для осуществления видов деятельности с 1 по 3. Виды деятельности 4 и 5 функционируют в рамках СУИБ. Для вида деятельности 6 управление ИБ и другие процессы предоставляют необходимую входную информацию.
Управление доступностью
Процесс управления доступностью рассматривает техническую доступность ИТ_компонентов, связанную с доступностью услуги. Качество доступности определяется непрерывностью, ремонтопригодностью и устойчивостью. Так как многие меры ИБ оказывают положительное воздействие и на доступность, и на аспекты ИБ — конфиденциальность и целостность, существенно важной является координация мер между процессами управления доступностью, управления непрерывностью функционирования ИТ и управления ИБ.
Управление мощностями
Процесс управления мощностями отвечает за наилучшее использование ИТ-ресурсов организации. Требования к производительности основаны на количественных и качественных стандартах, определенных процессом управления уровнем услуг. Почти все виды деятельности процесса управления мощностями воздействуют на доступность и, следовательно, также на процесс управления информационной безопасностью.
Управление непрерывностью
Процесс управления непрерывностью ИТ-услуг гарантирует, что воздействие любых непредвиденных обстоятельств будет ограничиваться уровнем, согласованным с заказчиком. Основными видами деятельности являются определение, поддержка, внедрение и тестирование плана обеспечения непрерывной работы и восстановления функционирования, а также принятие превентивных мер. Из-за присутствия в этих видах работ аспектов безопасности возникает связь с процессом управления информационной безопасностью. С другой стороны, невозможность выполнения базовых требований безопасности может сама рассматриваться как чрезвычайное обстоятельство.
Сергей Романовский, rom_se@amt.ru, CIO/информационная безопасность №2/февраль/2007