Современные
информационные технологии/ Информационная безопасность
Борозніченко В. О., Максімов Ю.О.
Національний авіаційний
університет(НАУ), Україна
ОСОБЛИВОСТІ ПОБУДОВИ СИСТЕМИ УПРАВЛІННЯ
ІНОРМАЦІЙНОЮ БЕЗПЕКОЮ
Вступ. У зв’язку поширенням
інформаційних систем, проблема забезпечення безпеки загострюється. Захистити
систему тільки набором технічних засобів – вже не є достатньої мірою для
забезпечення оптимальних умов обігу інформації. Відсутність регулярного аналізу
ризиків, не інформованість співробітників про правила використання
конфіденційної інформації, порушення режиму доступу – може стати реальною
загрозою забезпечення інформаційної безпеки (ІБ). З використанням інформаційних
систем для підтримки основних бізнес - процесів компанії, до цих проблем
додаються питання забезпечення безперервності функціонування бізнесу. Вирішити
ці питання можна шляхом побудови ефективної системи управління інформаційною
безпекою (СУІБ) .
Актуальність. Процес керування заключається у плануванні, виконанні, контролю та
технічному обслуговуванні всієї інфраструктури безпеки. Це необхідна сфера
впливу на шляху побудови захищеного простору обігу інформації. Актуальність
даного питання є неодмінно високою, адже успішне та позбавлене загроз
інформаційне функціонування веде до злагодженої роботи усіх відділів компанії.
Метою даної статті є опис
основних особливостей побудови системи управління інформаційної безпеки на
об’єктах, що використовують розподіленні автоматизовані робочі місця (АРМ) та
обробляють інформацію, поширення якої веде до матеріальних збитків організації.
Автори намагаються найповніше розкрити етапи створення СУІБ та акцентувати
увагу на особливостях реалізації даного процесу.
Викладення матеріалу. Основним регламентуючим документом процесу
побудови СМІБ є міжнародний стандарт ISO/IEC 27001: 2011. Згідно з ним система
менеджменту інформаційної безпеки – це та частина загальної системи менеджменту
компанії, яка заснована на підході аналізу та оцінки бізнес-ризиків при
створенні, впровадженні, функціонуванні, моніторингу, підтримці та покращенні
інформаційної безпеки[1]. Цим документом прийнята циклічна модель PDCA:
· Планування (Plan) – фаза створення СУІБ, створення переліку активів, оцінки
ризиків та вибору заходів;
· Do (Дія) – етап реалізації та впровадження відповідних заходів;
· Check (Перевірка) – фаза оцінки ефективності та продуктивності СУІБ;
· Act (Покращення) – виконання превентивних та коригуючих дій.
Система менеджменту
інформаційної безпеки розробляється з метою забезпечення вибору ефективних
засобів управління безпекою, які призначені для захисту інформаційних активів.
Вона об’єднує всі організаційні заходи в єдиний керований комплекс співставний
реальним небезпекам та дозволяє досягати корпоративних цілей інформаційної
безпеки[1].
Побудова СУІБ
дозволяє чітко визначити, як взаємопов’язані процеси і підсистеми ІБ, хто за
них відповідає, які фінансові і трудові ресурси необхідні для їх ефективного
функціонування, і т. д.
Етапи створення СУІБ. Весь
процес створення поділяється на декілька основних етапів:
1. Затвердження рішення про створення СУІБ;
2. Попередня підготовка;
3. Аналіз ризиків;
4. Розробка політик і процедур СУІБ;
5. Впровадження СУІБ в експлуатацію.
Етап 1. Затвердження рішення про створення СУІБ. Рішення про створення СУІБ повинно прийматися керівниками компанії. Відділ
захисту інформації (служба інформаційної безпеки) реалізовує початок даного
процесу. У разі вирішення прийняття системи менеджменту інформаційної безпеки
керівництво повинно усвідомлювати кінцеву ціль даного заходу та важливість
сертифікації для бізнесу[2].
Етап 2. Попередня підготовка. Наступним етапом є створення робочої групи та призначення
керівника. До її складу мають увійти: представники керівництва організації,
представники відділів, старші спеціалісти, що забезпечують інформаційну безпеку
в компанії[2]. Дані співробітники повинні усвідомленні про механізми систем
менеджменту. До складу робочої групи можуть входити також консультанти, що
спеціалізуються на питаннях СУІБ. Робоча група повинна мати всю необхідну
нормативно-методичну базу для успішного створення, відповідно вимогам. До такої
бази можуть входити наступні документи: ISO / IEC 27000, ISO / IEC 27001:2011, ISO / IEC 27002:2005,
ISO / IEC 27003:2008, ISO/IEC 27005:2011, ISO / IEC 73:2002 [2].
Попередній аналіз
оцінює галузі діяльності організації, які будуть охоплені СУІБ. При виборі
області діяльності, в якій робоча група буде впроваджувати механізми СУІБ,
повинні враховуватися наступні критерії: діяльність та послуги, що надаються
організацією своїм партнерам і клієнтам, цільова інформація, безпека якої
повинна бути забезпечена, бізнес - процеси, що забезпечують обробку інформації,
відділи і співробітники організації, задіяні в даних бізнес – процесах,
програмно - технічні засоби, що забезпечують функціонування даних процесів,
територія компанії, в рамках яких відбуваються збір, обробка та передача
інформації. Результатом є узгоджена та затверджена з керівництвом область
діяльності організації, в рамках якої планується створення СУІБ[2].
Також в процесі
створення системи потрібно постійно аналізувати та виявляти невідповідності до
нормативних документів. Для уточнення обсягу робіт і необхідних витрат на
створення і подальшу сертифікацію СУІБ, члени робочої групи проводять роботи з
виявлення й аналізу невідповідностей існуючих в організації заходів захисту до
вимог стандарту. При цьому аналізуються як прийнятті організаційні заходи по
плануванню, впровадженню, аудиту та модернізації, так і використовувані
програмно - технічні засоби і механізми захисту інформації. На даному етапі
компанія також може вибрати незалежний орган з сертифікації систем менеджменту,
що має відповідну акредитацію.
Етап 3. Аналіз ризиків. Найбільш складним завданням, що вирішуються
в процесі створення СУІБ, слід назвати проведення аналізу ризиків інформаційної
безпеки щодо активів організації в обраній галузі діяльності та прийняття
керівництвом рішення про вибір заходів протидії виявленим ризикам. У процесі
аналізу ризиків проводяться наступні роботи: ідентифікація всіх активів в
рамках обраної діяльності, визначення цінності активів, ідентифікація загроз і
вразливостей для даних активів, оцінка ризиків для можливих випадків успішної
реалізації загроз, вибір критеріїв прийняття ризиків, підготовка плану
оброблення ризиків[2].
Виконання всіх
зазначених завдань зазвичай здійснюється відповідно до розроблюваної процедурою
аналізу ризиків, в якій визначена методологія і відображені організаційні
аспекти.
Важливою ланкою
аналізу ризиків є ідентифікація та визначення цінності активів. У рамках даних
робіт повинні бути розглянуті всі бізнес - процеси, що входять в обрану область
діяльності організації. По кожному бізнес - процесу, проводиться ідентифікація
активів, а саме: інформаційні вхідні дані, вихідні дані, оброблювальні данні,
працівники обраної галузі, інфраструктура, обладнання, програмне забезпечення.
Наступним кроком у
проведенні аналізу ризиків, щодо активів компанії є визначення цінності активу,
яка виражається у величині збитку для організації. Інформація про цінності
активу може бути отримана від його власника або ж від особи, якій власник надав
всі повноваження з даного активу. Результатом даних робіт є звіт про
ідентифікацію та оцінку цінності активів .
Власне аналіз
ризиків – це основний періодичний процес СУІБ. Необхідно підібрати таку
методику аналізу ризиків, яку можна було б використати з мінімальними затратами
часу та ресурсів. Можна використовувати існуючу чи розробити власну методику,
яка найкращим чином підходитиме до специфіки компанії[3].
У процесі аналізу
ризиків для кожного з активів або групи активів проводиться ідентифікація
можливих загроз і вразливостей, оцінюється ймовірність реалізації кожної
загрози і, з урахуванням величини можливого збитку для активу, визначається
величина ризику, що відображає критичність загрози. В процедурі аналізу ризиків
повинні бути ідентифіковані критерії прийняття ризиків та допустимі рівні
ризику. Ці критерії мають базуватися на стратегічних, організаційних та
управлінських цілях організації.
Керівники компанії
використовують дані критерії, приймаючи рішення щодо прийняття контрзаходів для
протидії виявленим ризикам. Якщо виявлений ризик не перевищує встановленого
рівня, він є прийнятним, і подальші заходи по його обробці не проводяться. У
випадку, якщо виявлений ризик перевищує прийнятний рівень, повинне бути
прийняте одне з рішень: зниження ризику до прийнятного рівня за допомогою
застосування відповідних контрзаходів; прийняття ризику; уникнення ризику;
передача ризику[2].
Після ідентифікації
та опису можливих ризиків слідує під етап –
«План обробки ризиків». Створюваний на даному етапі документ містить
перелік першочергових заходів щодо зниження рівнів ризиків, а також цілі та
засоби управління, спрямовані на зниження ризиків, із зазначенням: осіб,
відповідальних за реалізацію даних заходів, термінів реалізації та пріоритетів
їх виконання, ресурсів, рівнів залишкових ризиків. Прийняття плану обробки
ризиків та контроль за його виконанням здійснює керівництво організації.
Виконання ключових
заходів плану є відправною точкою для прийняття рішення про введення СУІБ в
експлуатацію.
Етап 4. Розробка політик і процедур СУІБ. Розробка організаційно – нормативної бази, необхідної для функціонування
СУІБ, може проводитися паралельно з реалізацією заходів плану обробки ризиків.
На даному етапі
розробляються документи СУІБ. Зазвичай сюди входять такі політики та процедури:
область діяльності, політика СУІБ. Також відносяться механізми забезпечення ІБ,
такі як: політика антивірусного захисту; політика надання доступу до
інформаційних ресурсів; політика використання засобів криптографічного захисту,
тощо. Процедури ж можуть містити такі наступні заходи: управління
документацією, управління записами, внутрішні аудити, коригувальні дії,
попереджуючі дії, управління інцидентами, аналіз функціонування СУІБ
керівництвом організації, оцінка ефективності механізмів управління СУІБ, інші
процедури та інструкції.
Розроблені політики
та процедури повинні охоплювати наступні ключові процеси СУІБ: управління
ризиками, управління інцидентами, управління ефективністю системи, управління
персоналом, управління документацією та записами системи управління ІБ,
перегляд і модернізація системи, управління безперервністю бізнесу і
відновлення після переривань[4]. Крім того, в посадові інструкції
відповідального персоналу, положення про підрозділи , контрактні зобов’язання
організації повинні бути включені обов’язки щодо забезпечення інформаційної
безпеки. Обов’язки з виконання вимог СУІБ за допомогою відповідних наказів та
розпоряджень покладаються на відповідальних співробітників відділів. Всі
розроблені положення політики, процедури та інструкцій доводяться до відома
рядових співробітників при їх навчанні та інформуванні[2].
Таким чином, в
результаті не тільки створюється документальна база СУІБ, але й відбувається
реальний розподіл обов’язків щодо забезпечення безпеки інформації серед
персоналу.
Етап 5. Впровадження СУІБ в експлуатацію. Датою введення СУІБ в експлуатацію є дата затвердження компанії положення
про внутрішній регламент обробки інформації на АРМ. Даний документ є публічним
і декларує цілі та засоби, обрані організацією для управління ризиками.
Положення включає наступне: засоби управління і контролю, вибрані на етапі
обробки ризиків, існуючі в організації засоби управління, засоби, що
забезпечують виконання вимог законодавства, засоби, що забезпечують виконання
загально корпоративних вимог, тощо. При введенні СУІБ в експлуатацію
використовуються всі розроблені механізми, що реалізують обрані цілі [2].
Висновок. Розглянувши основні етапи створення СУІБ, відзначимо, що цей процес досить
складний і тривалий. Очевидно, що роботи з розробки та
впровадження не можуть бути успішними без сприяння керівництва компанії до
створення СУІБ.
Витрачені зусилля на
створення системи управління інформаційною безпекою, дозволять організації
вийти на новий рівень якості роботи, зменшити інформаційні та організаційні
загрози, покращити управління та продемонструвати надійність компанії, що
надасть можливість успішної конкуренції на ряду з провідними компаніями на
міжнародному ринку.
Література:
1. ISO/IEC 27001:2011 ”Information technology. Security techniques.
Information security management systems. Requirements”;
2.
Методология.
«Создание комплексной системы управления информационной безопасностью»// http://itzashita.ru;
URL:
http://itzashita.ru/theory/sozdanie-kompleksnoj-sistemy-upravleniya-informacionnoj-bezopasnostyu.html; (дата звертання 18.10.2013)
3.
Искусство управления
информационными
рисками. Астахов А. М. – М.:ДМК Пресс, 2010. – 312с., ил.
4.
Управление
информационными рисками: Учеб. пособие. . Варфоломеев А.А. – М.:
РУДН, 2008. – 158 с.: ил.