###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Управление информационной безопасностью. Политика, принципы и основные понятия

    29.07.2019 Мониторы

    СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

    «СВЯЗЬ – ЭФФЕКТИВНОСТЬ»

    РОСС RU.М821.04ФБГ0

    Система управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи»

    Требования, программа и методика сертификационных испытаний

    1 Введение 1

    2 Область применения 2

    4.2.Требования к политикам оператора 5

    4.3.Требования к функциональности 6

    4.4. Требования к взаимодействию 7

    5 Программа сертификационных испытаний 7

    5.1. Объект испытаний 7

    5.2. Цель испытаний 7

    6 Методика проведения сертификационных испытаний 8

    6.1. Условия проведения испытаний 8

    6.2. Методика проверки 9

    1 Введение

    Требования к Системе управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» (далее – Требования) определяют базовый уровень информационной безопасности, используя который, каждый оператор может оценить состояние сетевой и информационной безопасности, учитывая то, какие стандарты безопасности актуальны, какие из этих стандартов должны быть использованы, когда они должны быть использованы и как они должны применяться.Кроме того описывается готовность и способность оператора связи взаимодействовать с другими операторами, пользователями и правоохранительные органами с целью совместного противодействия угрозам информационной безопасности.

    Требования представляют собой минимальный набор рекомендаций, реализация которых будет гарантировать достаточный уровень информационной безопасности коммуникационных услуг, позволяя при этом обеспечить баланс интересов операторов, пользователей и регулятора.

    Программа и методика определяют все виды, условия, объем и методы сертификационных испытаний базового уровня информационной безопасности операторов связи.

    Настоящий документ может быть использован для случаев, когда оператор связи:

      нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям;

      имеет цель демонстрировать взаимодействующим операторам связи способность и готовность совместно с ними противостоять угрозам информационной безопасности.

    2 Область применения

        Настоящие Требования, программа и методика разработаны в соответствии с Положением о Системе добровольной сертификации «Связь – Эффективность» на базе Рекомендации сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

        Настоящие Требования, программа и методика разработаны для системы добровольной сертификации и предназначены для операторов связи, сертификационных центров и лабораторий при проведении добровольной сертификации Системы управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» в Системе добровольной сертификации «Связь – Эффективность».

    3 Нормативные ссылки, определения и сокращения

    3.1. В настоящих Требованиях, программе и методике использованы ссылки на следующие нормативные документы:

      Федеральный закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

      Доктрина информационной безопасности Российской Федерации от 09 сентября 2000 г. № Пр-1895.

      Правила присоединения сетей электросвязи и их взаимодействия (утв. Постановлением Правительства РФ от 28 марта 2005 г., N 161).

      ГОСТ Р 50739-95 Средства вычислительной техники. Защита от НСД к информации. Общие технические требования.

      ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.

      ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

      ГОСТ Р ИСО/МЭК 27001-2006 Методы обеспечения информационной безопасности. Системы управления информационной безопасностью. Требования.

      ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения.

      Рекомендация сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

    3.2. В настоящих Требованиях, программе и методике использованы термины соответствующие определениям Федерального закона «О связи», а также дополнительно определены следующие термины и сокращения:

    Аккаунт – персональная учетная запись пользователя информационной системы, программного обеспечения оборудования, включающее имя пользователя (логин), его скрываемые индивидуальные признаки (пароль) и другие сведения, необходимые для получения доступа.

    Антивирусное программное обеспечение – специальное программное обеспечение, предназначенное для выявления и деактивации (блокирования) вредоносного программного кода, специально созданного для нарушения целостности, доступности и конфиденциальности данных.

    Атака типа «отказ в обслуживании» – преднамеренное воздействие на информационную систему или оборудование с целью создания условий, при которых правомерные пользователи не могут получить доступ к предоставляемым системой или оборудованием ресурсам или такой доступ будет затруднен.

    Информационная безопасность оператора связи – состояние защищенности информационных ресурсов оператора связи и поддерживающей их инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба оператору связи, пользователям услуг связи, и характеризуемая способностью обеспечивать конфиденциальность, целостность и доступность информации при ее хранении, обработке и передаче.

    Лицензионное соглашение – договор между владельцем программного обеспечения и пользователем ее копии

    Оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.

    Политика безопасности оператора связи – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи.

    Провайдер услуг – юридическое лицо, занимающееся предоставлением (доставкой) абоненту услуг связи определенного вида и обеспечивающее согласованное использование сетевых возможностей, связанных с данными услугами.

    Спам – незапрашиваемая корреспонденция, передаваемая в электронном виде (как правила, средствами электронной почты).

    Управление рисками – процесс определения, контроля, уменьшения или полного устранения (с приемлемыми затратами) рисков для информационной безопасности, которые могут повлиять на информационные системы оператора связи и поддерживающую их инфраструктуру.

    © Вадим Гребенников, 2018

    ISBN 978-5-4493-0690-6

    Создано в интеллектуальной издательской системе Ridero

    1. Семейство стандартов управления информационной безопасностью

    1.1. История развития стандартов управления информационной безопасностью

    Сегодня безопасность цифрового пространства показывает новый путь национальной безопасности каждой страны. В соответствии с ролью информации как ценного товара в бизнесе, её защита, безусловно, необходима. Для достижения этой цели, каждой организации, в зависимости от уровня информации (с точки зрения экономической ценности), требуется разработка системы управления информационной безопасностью (далее – СУИБ), пока существует возможность, защиты своих информационных активов.

    В организациях, существование которых значительно зависит от информационных технологий (далее – ИТ), могут быть использованы все инструменты для защиты данных. Тем не менее, безопасность информации необходима для потребителей, партнеров по сотрудничеству, других организаций и правительства. В связи с этим, для защиты ценной информации, необходимо что бы каждая организация стремилась к той или иной стратегии и реализации системы безопасности на её основе.

    СУИБ является частью комплексной системы управления, основанной на оценке и анализов рисков, для разработки, реализации, администрирования, мониторинга, анализа, поддержания и повышения информационной безопасности (далее – ИБ) и ее реализации, полученных из целей организации и требования, требования безопасности, используемых процедур и размерах и структуре ее организации.

    Зарождение принципов и правил управления ИБ началось в Великобритании в 1980-х годах. В те годы Министерство торговли и промышленности Великобритании (англ. Department of Trade and Industry, DTI) организовало рабочую группу для разработки свода лучших практик по обеспечению ИБ.

    В 1989 году «DTI» опубликовало первый стандарт в этой области, который назывался PD 0003 «Практические правила управления ИБ». Он представлял собой перечень средств управления безопасностью, которые в то время считались адекватными, нормальными и хорошими, применимыми как к технологиям, так и средам того времени. Документ «DTI» был опубликован как руководящий документ британской системы стандартов (англ. British Standard, BS).

    В 1995 году Британский институт стандартов (англ. British Standards Institution, BSI) принял национальный стандарт BS 7799-1 «Практические правила управления ИБ». Она описывал 10 областей и 127 механизмов контроля, необходимых для построения СУИБ (англ. Information Security Management System, ISMS), определенных на основе лучших примеров из мировой практики.

    Этот стандарт и стал прародителем всех международных стандартов СУИБ. Как и любой национальный стандарт BS 7799 в период 1995-2000 годов пользовался, скажем так, умеренной популярностью только в рамках стран британского содружества.

    В 1998 году появилась вторая часть этого стандарта – BS 7799-2 «СУИБ. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью.

    В конце 1999 года эксперты Международной организации по стандартизации (англ. International Organization for Standardization, ISO) и Международной электротехнической комиссии (англ. International Electrotechnical Commission, IEC) пришли к выводу, что в рамках существующих стандартов отсутствует специализированный стандарт управления ИБ. Соответственно, было принято решение не заниматься разработкой нового стандарта, а по согласованию с «BSI», взяв за базу BS 7799-1, принять соответствующий международный стандарт ISO/IEC.

    В конце 1999 года обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления качеством ISO/IEC 9001 и экологией ISO/IEC 14001, а год спустя без изменений BS 7799-1 был принят в качестве международного стандарта ISO/IEC 17799:2000 «Информационные технологии (далее – ИТ). Практические правила управления ИБ».

    В 2002 году была обновлена и первая часть стандарта BS 7799-1 (ISO/IEC 17799), и вторая часть BS 7799-2.

    Что же касается официальной сертификации по ISO/IEC 17799, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799-2, который представлял собой ряд обязательных требований (не вошедших в BS 7799-1) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS 7799-1 (ISO/IEC 17799).

    На территории СНГ первой страной, которая в ноябре 2004 года приняла стандарт ISO/IEC 17799:2000 в качестве национального, была Беларусь. Россия ввела этот стандарт только в 2007 году. Центральный Банк РФ на его базе создал стандарт управления ИБ для банковской сферы РФ.

    В составе ISO/IEC за разработку семейства международных стандартов по управлению ИБ отвечает подкомитет №27, поэтому была принята схема нумерации данного семейства стандартов с использованием серии последовательных номеров, начиная с 27000 (27k).

    В 2005 году подкомитет SC 27 «Методы защиты ИТ» Объединенного технического комитета JTC 1 «ИТ» ISO/IEC разработал сертификационный стандарт ISO/IEC 27001 «ИТ. Методы защиты. СУИБ. Требования», пришедший на смену BS 7799-2, и теперь сертификация проводится уже по ISO 27001.

    В 2005 году на основе ISO/IEC 17799:2000 был разработан ISO/IEC 27002:2005 «ИТ. Методы защиты. Свод норм и правил управления ИБ».

    В начале 2006 года был принят новый британский национальный стандарт BS 7799-3 «СУИБ. Руководство по управлению рисками ИБ», который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

    В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В 2011 году на его базе был разработан стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ».

    В 2009 году был принят стандарт ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология». Он предоставляет обзор систем управления ИБ и определяет соответствующие термины. Словарь тщательно сформулированных формальных определений охватывает большинство специализированных терминов, связанных с ИБ и используемых в стандартах группы ISO/IEC 27.

    25 сентября 2013 года были опубликованы новые версии стандартов ISO/IEC 27001 и 27002. С этого момента стандарты серии ISO/IEC 27k (управление ИБ) полностью интегрированы со стандартами серии ISO/IEC 20k (управление ИТ-сервисами). Вся терминология из ISO/IEC 27001 перенесена в ISO/IEC 27000, который определяет общий терминологический аппарат для всего семейства стандартов ISO/IEC 27k.

    1.2. Стандарт ISO/IEC 27000-2014

    Последнее обновление стандарта ISO/IEC 27000 «ИТ. СУИБ. Общий обзор и терминология» состоялось 14 января 2014 года.

    Стандарт состоит из следующих разделов:

    – введение;

    – сфера применения;

    – термины и определения;

    – системы управления ИБ;

    – семейство стандартов СУИБ.

    Введение

    Обзор

    Международные стандарты системы управления представляют модель для налаживания и функционирования системы управления. Эта модель включает в себя функции, по которым эксперты достигли согласия на основании международного опыта, накопленного в этой области.

    При использовании семейства стандартов СУИБ организации могут реализовывать и совершенствовать СУИБ и подготовиться к ее независимой оценке, применяемой для защиты информации, такой как финансовая информация, интеллектуальная собственность, информация о персонале, а также информация, доверенная клиентами или третьей стороной. Эти стандарты могут использоваться организацией для подготовки независимой оценки своей СУИБ, применяемой для защиты информации.

    Семейство стандартов СУИБ

    Семейство стандартов СУИБ, имеющее общее название «Information technology. Security techniques» (Информационная технология. Методы защиты), предназначено для помощи организациям любого типа и размера в реализации и функционировании СУИБ и состоит из следующих международных стандартов:

    – ISO/IEC 27000 СУИБ. Общий обзор и терминология;

    – ISO/IЕС 27001 СУИБ. Требования;

    – ISO/IEC 27002 Свод правил по управлению ИБ;

    – ISO/IEC 27003 Руководство по реализации СУИБ;

    – ISO/IEC 27004 УИБ. Измерения;

    – ISO/IEC 27005 Управление рисками ИБ;

    – ISO/IЕС 27006 Требования для органов, обеспечивающих аудит и сертификацию СУИБ;

    – ISO/IEС 27007 Руководство по проведению аудита СУИБ;

    – ISO/IEС TR 27008 Руководство по аудиту механизмов контроля ИБ;

    – ISO/IEС 27010 УИБ для межсекторных и межорганизационных коммуникаций;

    – ISO/IЕС 27011 Руководство пo УИБ для телекоммуникационных организаций на основе ISО/IEC 27002;

    – ISO/IEС 27013 Руководство пo интегрированной реализации стандартов ISO/IEC 27001 и ISO/IEC 20000-1;

    – ISO/IEС 27014 Управление ИБ высшим руководством;

    – ISO/IEС TR 27015 Руководство пo УИБ для финансовых сервисов;

    – ISO/IEС TR 27016 УИБ. Организационная экономика;

    – ISO/IEС 27035 Управление инцидентами ИБ (в стандарте не указан).

    Международный стандарт, не имеющие этого общего названия:

    – ISO 27799 Информатика в здравоохранении. УИБ по стандарту ISO/IEC 27002.

    Цель стандарта

    Стандарт предоставляет обзор СУИБ и определяет соответствующие условия.

    Семейство стандартов СУИБ содержит стандарты, которые:

    – определяют требования к СУИБ и сертификации таких систем;

    – включают в себя отраслевые руководящие принципы для СУИБ;

    – руководят проведением оценки соответствия СУИБ.

    1. Сфера применения

    Стандарт предосталяет обзор СУИБ, а также условий и определений, широко использующихся в семействе стандартов СУИБ. Стандарт применим ко всем типам и размерам организаций (например, коммерческие предприятия, правительственные учреждения, неприбыльные организации).

    2. Термины и определения

    Раздел содержит определение 89 терминов, например:

    информационная система – приложения, сервисы, ИТ активы и другие компоненты обработки информации;

    информационная безопасность (ИБ) – сохранение конфиденциальности, целостности и доступности информации;

    доступность – свойство быть доступным и готовым к использованию по запросу уполномоченного лица;

    конфиденциальность – свойство информации быть недоступной или закрытой для неуполномоченных лиц;

    целостность – свойство точности и полноты;

    неотказуемость – способность удостоверять наступление события или действие и их создающих субьектов;

    событие ИБ – выявленное состояние системы (сервиса или сети), указывающее на возможное нарушение политики или мер ИБ, или прежде неизвестная ситуация, которая может касаться безопасности;

    инцидент ИБ – одно или несколько событий ИБ, которые со значительной степенью вероятности приводят к компрометации бизнес-операций и создают угрозы для ИБ;

    управление инцидентами ИБ – процессы обнаружения, оповещения, оценки, реагирования, рассмотрения и изучения инцидентов ИБ;

    система управления – набор взаимосвязанных элементов организации для установления политик, целей и процессов для достижения этих целей;

    мониторинг – определение статуса системы, процесса или действия;

    политика – общее намерение и направление, официально выраженное руководством;

    риск – эффект неопределенности в целях;

    угроза возможная причина нежелательного инцидента, который может нанести ущерб;

    уязвимость – недостаток актива или меры защиты, которое может быть использовано одной или несколькими угрозами.

    3. Системы управления ИБ

    Раздел «СУИБ» состоит из следующих основных пунктов:

    – описание СУИБ;

    – внедрение, контроль, сопровождение и улучшение СУИБ;

    – преимущества внедрения стандартов семейства СУИБ.

    3.1. Введение

    Организации всех типов и размеров:

    – собирают, обрабатывают, хранят и передают информацию;

    – осознают, что информация и связанные процессы, системы, сети и люди являются важными активами для достижения целей организации;

    – сталкиваются с целым рядом рисков, которые могут повлиять на функционирование активов;

    – устраняют предполагаемый риск посредством внедрения мер и средств ИБ.

    Вся информация, хранимая и обрабатываемая организацией, является объектом для угроз атаки, ошибки, природы (например, пожар или наводнение) и т. п. и объектом уязвимостей, свойственных ее использованию.

    Обычно понятие ИБ базируется на информации, которая рассматиривается как имеющий ценность актив и требует соответствующей защиты (например, от потери доступности, конфиденциальности и целостности). Возможность получить своевременный доступ уполномоченных лиц к точной и полной информации является катализатором бизнес-эффективности.

    Эффективная защита информационных активов путем определения, создания, сопровождения и улучшения ИБ является необходимым условием для достижения организацией своих целей, а также поддержания и улучшения правового соответствия и репутации. Эти координированные действия, направленные на внедрение надлежащих мер защиты и обработку неприемлемых рисков ИБ, общеизвестны как элементы управления ИБ.

    По мере изменения рисков ИБ и эффективности мер защиты в зависимости от меняющихся обстоятельств организации следует:

    – контролировать и оценивать эффективность внедренных мер и процедур защиты;

    – идентифицировать возникающие риски для обработки;

    – выбирать, внедрять и улучшать соответствующие меры защиты надлежащим образом.

    Для взаимосвязи и координации действий ИБ каждой организации следует сформировать политику и цели ИБ и эффективно достигать этих целей, используя систему управления.

    3.2. Описание СУИБ

    Описание СУИБ предусматривает следующие составляющие:

    – положения и принципы;

    – информация;

    – информационная безопасность;

    – управление;

    – система управления;

    – процессный подход;

    – важность СУИБ.

    Положения и принципы

    СУИБ состоит из политик, процедур, руководств и соответствующих ресурсов и действий, коллективно управляемых организацией, для достижения защиты своих информационных активов. СУИБ определяет систематический подход к созданию, внедрению, обработке, контролю, пересмотру, сопровождению и улучшению ИБ организации для достижения бизнес-целей.

    Она базируется на оценке риска и приемлемых уровнях риска организации, разработанных для эффективной обработки и управления рисками. Анализ требований защиты информационных активов и применение соответствующих мер защиты, чтобы обеспечить необходимую защиту этих активов, способствует успешной реализации СУИБ.

    Следующие основные принципы способствуют успешной реализации СУИБ:

    – понимание необходимости системы ИБ;

    – назначение ответственности за ИБ;

    – объединение обязательств руководства и интересов заинтересованных лиц;

    – возрастание социальных ценностей;

    – оценки риска, определяющие соответствующие меры защиты для достижения допустимых уровней риска;

    – безопасность как неотъемлемый элемент ИС и сетей;

    – активное предупреждение и выявление инцидентов ИБ;

    – обеспечение комплексного подхода к УИБ;

    – непрерывная переоценка и соответствующее улучшение ИБ.

    Информация

    Информация – это актив, который наряду с другими важными бизнес-активами важен для бизнеса организации и, следовательно, должен быть соответственно защищен. Информация может храниться в различных формах, включая такие как цифровая форма (например, файлы с данными, сохраненные на электронных или оптических носителях), материальная форма (например, на бумаге), а также в нематериальном виде в форме знаний сотрудников.

    Информация может быть передана различными способами, включая курьера, электронную или голосовую коммуникацию. Независимо от того, в какой форме представлена информация и каким способом передается, она должна быть должным образом защищена.

    Во многих организациях информация зависит от информационной и коммуникационной технологии. Эта технология является существенным элементом в любой организации и облегчает создание, обработку, хранение, передачу, защиту и уничтожение информации.

    Информационная безопасность

    ИБ включает в себя три основных измерения (свойства): конфиденциальность, доступность и целостность. ИБ предусматривает применение и управление соответствующими мерами безопасности, которые включают в себя рассмотрение широкого диапазона угроз, с целью обеспечения длительного успеха и непрерывности бизнеса и минимизации влияний инцидентов ИБ.

    ИБ достигается применением соответствующего набора мер защиты, определенного с помощью процесса управления рисками и управляемого с использованием СУИБ, включая политики, процессы, процедуры, организационные структуры, программные и аппаратные средства, чтобы защитить идентифицированные информационные активы.

    Эти меры защиты должны быть определены, реализованы, проконтролированы, проверены и при необходимости улучшены, чтобы гарантировать, что уровень ИБ соответствует бизнес-целям организации. Соответствующие меры и средства ИБ следует органично интегрировать в бизнес-процессы организации.

    Управление

    Управление включает в себя действия по руководству, контролю и непрерывному совершенствованию организации в рамках соответствующих структур. Управленческая деятельность включает в себя действия, методы или практику формирования, обработки, направления, наблюдения и контроля ресурсов. Величина управленческой структуры может варьироваться от одного человека в небольших организациях до управленческой иерархии в крупных организациях, состоящих из многих людей.

    Относительно СУИБ управление включает в себя наблюдение и выработку решений, необходимых для достижения бизнес-целей посредством защиты информационных активов. Управление ИБ выражается через формулирование и использование политик ИБ, процедур и рекомендаций, которые затем применяются повсеместно в организации всеми лицами, связанными с ней.

    Система управления

    Система управления использует совокупность ресурсов для достижения целей организации. Система управления организации включает в себя структуру, политики, планирование, обязательства, методы, процедуры, процессы и ресурсы.

    В части ИБ система управления позволяет организации:

    – удовлетворять требования безопасности клиентов и других заинтересованных лиц;

    – улучшать планы и деятельность организации;

    – соответствовать целям ИБ организации;

    – выполнять нормативы, законодательство и отраслевые приказы;

    – организованно управлять информационными активами для содействия постоянному улучшению и коррекции текущих целей организации.

    3.3. Процессный подход

    Организации нужно вести разные виды деятельности и управлять ими для того, чтобы функционировать эффективно и результативно. Любой вид деятельности, использующий ресурсы, нуждается в управлении для того, чтобы обеспечить возможность преобразования входов в выходы посредством совокупности взаимосвязанных действий, – это также называется процессом.

    Выход одного процесса может непосредственно формировать вход следующего процесса, и обычно такая трансформация происходит в планируемых и управляемых условиях. Применение системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением может быть определено как «процессный подход».

    Дополнительная информация (в стандарте отсутствует)

    Родоначальником процессного подхода к управлению качеством принято считать американского ученого Уолтера Шухарта. Его книга начинается с выделения 3-х стадий в управлении качеством результатов деятельности организации:

    1) разработка спецификации (техническое задание, технические условия, критерии достижения целей) того, что требуется;

    2) производство продукции, удовлетворяющей спецификации;

    3) проверка (контроль) произведенной продукции для оценки ее соответствия спецификации.

    Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний».

    После первого цикла результаты проверки должны являться основой совершенствования спецификации на продукцию. Далее производственный процесс корректируется на основе уточненной спецификации, а новый результат производственного процесса опять же подвергается проверке и т. д.

    Американский ученый Эдвардс Деминг трансформировал цикл Шухарта в форму, наиболее часто встречаемую сегодня. Он, чтобы перейти от контроля качества к управлению качеством, дал более общие названия каждому из этапов, и, кроме того, добавил еще один, 4-й этап, с помощью которого он хотел обратить внимание американских менеджеров на то, что они недостаточно анализируют полученную на третьем этапе информацию и не улучшают процесс. Именно поэтому этот этап называется «воздействуй» (Act), и соответственно цикл Шухарта-Деминга называют моделью «PDCA» или «PDSA»:

    Plan Планирование – идентификация и анализ проблем; оценка возможностей, постановка целей и разработка планов;

    Do Реализация – поиск решения проблем и реализация планов;

    Check (Study) Оценка результативности – оценка результатов реализации и выводы в соответствии с поставленной задачей;

    Act Улучшение – принятие решений на основе полученных выводов, коррекция и улучшение работы.

    Модель «PDCA» для СУИБ

    Планирование – Реализация – Контроль – Улучшение

    1. Планирование (разработка и проектирование): установление целей, политик, элементов управления, процессов и процедур СУИБ для достижения результатов, соответствующих общей политике и целям организации.

    2. Реализация (внедрение и обеспечение функционирования): внедрение и применение политик ИБ, элементов управления, процессов и процедур СУИБ по оценке и обработке рисков и инцидентов ИБ.

    3. Контроль (мониторинг и анализ функционирования): оценка результативности выполнения требований политик, целей ИБ и эффективности функционирования СУИБ и оповещение высшего руководства о результатах.

    4. Улучшение (сопровождение и усовершенствование): проведение корректирующих и предупреждающих действий, основанных на результатах аудита и анализа со стороны руководства для достижения улучшения СУИБ

    Метод и цикл Шухарта-Деминга, который чаще называют циклом Деминга, обычно иллюстрируют схему управления любым процессом деятельности. Он с необходимыми уточнениями к настоящему времени получил широкое применение в международных стандартах управления:

    – качеством продукции ISO 9000;

    – охраной окружающей среды ISO 14000;

    – техникой безопасности и охраной труда OHSAS 18000;

    информационными сервисами ISO/IEC 20000;

    – безопасностью пищевой продукции ISO 22000;

    – информационной безопасностью ISO/IEC 27000;

    – безопасностью ISO 28000;

    – непрерывностью бизнеса ISO 22300;

    – рисками ISO 31000;

    – энергетикой ISO 50000.

    3.4. Важность СУИБ

    Организации следует определить риски, связанные с информационными активами. Достижение ИБ требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.

    Принятие СУИБ является стратегическим решением для организации, и необходимо, чтобы это решение постоянно интегрировалось, оценивалось и обновлялось в соответствии с потребностями организации.

    На разработку и реализацию СУИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СУИБ должны отражать интересы и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков, бизнес-партнеров, акционеров и других третьих сторон.

    Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критичные активы. Организации и их ИС и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения ИС и систем, вызванные вредоносным ПО, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и более изощренными.

    СУИБ важна для предприятий как государственного, так приватного сектора. В любой отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий по управлению риском. Взаимосвязь общедоступных и приватных сетей и обмен информационными активами усложняют управления доступом к информации и ее обработку.

    Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных мер защиты. Когда организации принимают семейство стандартов СУИБ, способность применения последовательных и взаимоузнаваемых принципов ИБ можно продемонстрировать бизнес-партнерам и другим заинтересованным сторонам.

    ИБ не всегда учитывается при создании и разработке ИС. Кроме того, часто считается, что ИБ – это техническая проблема. Однако ИБ, которая может быть достигнута с помощью технических средств, ограничена и может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СУИБ. Встраивание системы безопасности в функционально завершенную ИС может быть сложным и дорогостоящим.

    СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.

    Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:

    – повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;

    – поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;

    – постоянно улучшать среду управления организации;

    – эффективно соответствовать правовым и нормативным требованиям.

    3.5. Внедрение, контроль, сопровождение и улучшение СУИБ

    Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.

    Оперативные этапы СУИБ определяют следующие составляющие:

    общие положения;

    – требования ИБ;

    – решающие факторы успеха СУИБ.

    Оперативные этапы СУИБ обеспечивают следующие мероприятия:

    – оценка рисков ИБ;

    – обработка рисков ИБ;

    – выбор и внедрение мер защиты;

    – контроль и сопровождение СУИБ;

    – постоянное улучшение.

    Общие положения

    Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:

    – определение информационных активов и связанных с ними требований ИБ;

    – оценка и обработка рисков ИБ;

    – выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;

    – контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.

    Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.

    Требования ИБ

    В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:

    – информационных активов и их ценности;

    – бизнес-потребностей в работе с информацией;

    – правовых, нормативных и договорных требований.

    Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:

    – угроз активам;

    – уязвимостей активов;

    – вероятности материализации угрозы;

    – возможного влияния инцидента ИБ на активы.

    Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.

    Оценка рисков ИБ

    Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.

    Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.

    Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).

    Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.

    Оценка риска ИБ должна четко определять сферу применения, чтобы быть эффективной, и содержать взаимодействия с оценками риска в других сферах, по возможности.

    Стандарт ISO/IEC 27005 представляет руководство по управлению рисками ИБ, включая рекомендации по оценке, обработке, принятию, оповещению, мониторингу и анализу риска.

    Обработка рисков ИБ

    Перед рассмотрением обработки риска организации следует установить критерий для определения, можно принять риски или нет. Риски можно принять, если риск низкий или цена обработки не рентабельна для организации. Такие решения должны быть записаны.

    Для каждого риска, определенного оценкой риска, следует принять решение о его обработке. Возможные варианты обработки риска включают:

    – применение соответствующих мер защиты для снижения рисков;

    – осознанное и объективное принятие рисков в строгом соответствии с политикой организации и критерием принятия риска;

    – предотвращение рисков путем исключения действий, приводящих к появлению рисков;

    – обмен связанными рисками с другими сторонами, например, страховщиками или поставщиками.

    Соответствующие меры защиты от тех рисков, для которых принято решение об их применении с целью обработки рисков, дожны быть выбраны и внедрены.

    Выбор и внедрение мер защиты

    Общее руководство информационной безопасностью в Банке осуществляет Председатель Правления Банка исходя из представленных в Концепции задач, принципов организации и функционирования системы обеспечения информационной безопасности, основных угроз.

    Определяются следующие направления деятельности Банка по управлению информационной безопасностью:

    • - организация управления информационной безопасностью в автоматизированных системах и сетях;
    • - организация защиты речевой информации;
    • - обеспечение физической защиты объектов Банка, на которых обрабатывается и хранится информация, составляющая коммерческую тайну;
    • - участие в организации общего делового документооборота;
    • - организация и защита оборота конфиденциальных документов.

    Управление средствами защиты, установление полномочий пользователям и контроль должны осуществляться централизованно, с учетом особенностей обработки и передачи информации в конкретных системах и участках сети. Работы по обеспечению информационной безопасности в системах и сетях непосредственно осуществляют:

    • - Отдел информационной безопасности;
    • - администраторы систем и сетей;
    • - лица, ответственные за информационную безопасность в подразделениях Банка;
    • - Отдел режима Управления экономической безопасности.

    Отдел информационной безопасности является основой централизованного управления и контроля информационной безопасности в системах и сетях Банка. Основной задачей Отдела информационной безопасности, является организация непрерывной, плановой и целенаправленной работы по обеспечению информационной безопасности и контроль выполнения нормативных документов банка по информационной безопасности.

    Администраторами систем и сетей назначаются сотрудники Департамента информационных технологий Банка, которые отвечают за обеспечение работоспособности систем и сетей, выполнение Плана безотказной работы и восстановления систем и сетей. Основные задачи администраторов:

    • 1. Непосредственное управление системами и сетями, контроль целостности систем и сетей;
    • 2. Обеспечение безотказной работы и восстановление работоспособности систем при сбоях и отказах.

    Ответственными за информационную безопасность в подразделениях являются сотрудники структурных подразделений Банка. Основная их задача - контроль выполнения сотрудниками, подразделения правил работы в автоматизированных системах и сетях банка.

    Основной задачей Отделов режима филиалов в части обеспечения информационной безопасности является организация и проведение всего комплекса мероприятий по защите информации в филиале.

    Организацию, планирование и проведение мероприятий по защите речевой информации осуществляет Управление экономической безопасности. Основными задачами защиты речевой информации являются:

    • 1. Контроль соблюдения сотрудниками Банка порядка и правил обращения с конфиденциальной информацией и недопущение ее разглашения;
    • 2. Выявление и пресечение возможных каналов утечки речевой информации;
    • 3. Методическое руководство по защите речевой информации в подразделениях Банка.

    Общий контроль за обеспечением защиты речевой информации осуществляет Управление экономической безопасности.

    Организацию и обеспечение физической защиты объектов Банка (включая дополнительные офисы и филиалы), на которых осуществляется обработка и хранение сведений конфиденциального характера, осуществляет Управление экономической безопасности Банка. Основными задачами физической защиты являются:

    • 1. Организация защиты зданий, служебных помещений и прилегающих к ним территорий от возможного проникновения и посягательств со стороны посторонних лиц и исключение возможного хищения, искажения и уничтожения ими сведений конфиденциального характера;
    • 2. Обеспечение соблюдения сотрудниками и посетителями Банка порядка и правил прохода и поведения на территории Банка;
    • 3. Офизической безопасности материальных носителей информации при их хранении и транспортировке.

    Организация защиты конфиденциальных документов в подразделениях Банка возлагается на:

    • - Заместителей Председателя Правления Банка - в курируемых департаментах и управлениях;
    • - Руководителей департаментов (Начальников управлений) -- в департаментах (управлениях);
    • - Начальников отделов -- в отделах;
    • - Управляющих филиалов (директоров дополнительных офисов) - в филиалах (дополнительных офисах).

    Организация учета материальных носителей, содержащих сведения, составляющие коммерческую тайну (конфиденциального делопроизводства), возлагается на Административно-кадровый отдел Банка и Управление экономической безопасности, в филиалах (отделениях) - на специально выделенных для этих целей сотрудников, назначаемых приказом по филиалу (отделению).

    Для учета и хранения парольно-ключевых и криптографических материалов шифровальных средств, используемых в Банке, в рамках Отдела информационной безопасности организуется самостоятельный участок конфиденциального делопроизводства. Основными задачами организации системы конфиденциального делопроизводства являются:

    • - подбор и расстановка кадров на участке конфиденциального делопроизводства;
    • - организация конфиденциального документооборота в Банке;
    • - осуществление закрытой переписки;
    • - организация учета и контроля конфиденциальных документов;
    • - организация и осуществление разрешительной системы допуска исполнителей к работе с конфиденциальными документами.

    Текущий контроль за выполнением требований по защите информации на материальных носителях возлагается на Управление экономической безопасности Банка.

    Ответственность

    Ответственность за разглашение сведений, составляющих коммерческую тайну Банка, и утрату документов, изделий и магнитных носителей, содержащих такие сведения, устанавливается в соответствии с действующим законодательством Российской Федерации.

    Ответственность за разглашение и утрату сведений, содержащих коммерческую тайну, несет персонально каждый сотрудник Банка, имеющий доступ к ним.

    Компания «Инфосистемы Джет» выполняет комплексные проекты по построению и внедрению эффективных систем управления информационной безопасностью (СУИБ). Проекты включают анализ, разработку и внедрение процессов управления ИБ. Внедренные системы соответствуют как требованиям бизнеса, так и требованиям международных стандартов и лучших практик. Как следствие, они приносят не только маркетинговый эффект, но и позволяют оптимизировать бюджет на ИБ, повысить прозрачность ИБ для бизнеса, а также уровень защищенности и зрелости заказчика.

    Проблематика

    Для защиты важной информации компании применяют разнообразные меры обеспечения ИБ.Однако использование даже самых современных и дорогостоящих средств не является гарантией их эффективности и может приводить к необоснованным тратам на обеспечение ИБ. Наличие большого количества мер и средств обеспечения ИБ усложняет процесс управления. Зачастую механизмы, позволяющие на постоянной основе отслеживать и анализировать работу системы обеспечения ИБ и вносить коррективы в её работу, недостаточно отлажены.

    Отсутствие формализованных процессов управления и обеспечения ИБ приводит к повышению операционных затрат. Из-за отсутствия организационного подхода все возникающие вопросы решаются в отдельном порядке, который меняется от случая к случаю.

    Решение

    СУИБ является частью общей системы обеспечения информационной безопасности. Один из ее основных компонентов – процесс управления рисками ИБ. Результаты его работы позволяют разрабатывать решения по обработке неприемлемых рисков и внедрению экономически обоснованных мер обеспечения ИБ. Планирование реализации выбранных мер позволяет распределять затраты на обеспечение ИБ как в краткосрочной, так и в долгосрочной перспективах.

    В рамках СУИБ создается и/или описывается ряд процессов управления и обеспечения ИБ, что позволяет структурировать эти процессы и обеспечить их воспроизводимость. При ее построении необходимо взаимодействие с высшим руководством и представителями бизнес-подразделений заказчика, чтобы выявить их ожидания от системы.

    С учетом того, что удобство системы управления и обеспечения ИБ для исполнителей определяется эффективностью ее работы, специалисты компании «Инфосистемы Джет» уделяют особое внимание выстраиванию и последующей отладке процессов СУИБ. В ходе работ всегда учитываются существующие в компании процессы, их особенности и уровни зрелости, а также традиции корпоративной культуры. Особое внимание уделяется обучению сотрудников, задействованных во внедрении системы, распределению обязанностей, а также организации внутреннего центра компетенции по управлению и обеспечению ИБ. В результате внедренные процессы становятся неотъемлемой частью компании, работая в соответствии с поставленными целями, а не остаются «папкой бумаг, лежащей в шкафу».

    Компания «Инфосистемы Джет» оказывает широкий спектр услуг в области управления и обеспечения ИБ:

    Разработка и внедрение СУИБ на основе стандарта ISO/IEC 27001

    Разработка и внедрение основных процессов управления ИБ осуществляется с учетом организационной структуры и специфики заказчика. Помимо этого проводится обучение ключевых сотрудников работе с СУИБ, оказывается консультационная поддержка.

    Разработка и внедрение отдельных процессов управления и обеспечения ИБ

    Разработка и внедрение отдельных процессов управления и обеспечения ИБ (например, управления рисками, управления инцидентами, внутренних аудитов и т.д.) осуществляется в соответствии с требованиями международных и российских стандартов по ИБ (ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 27005:2008, PCI DSS, СТО БР ИББС – 1.0 и др.), а также лучшими практиками в этой области.

    Консультанты могут составить план-график последовательного внедрения процессов управления ИБ с целью дальнейшего объединения в единую СУИБ.

    Подготовка к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001

    Подготовка к сертификации включает проведение предварительного анализа выполнения требований стандарта ISO/IEC 27001, устранение выявленных несоответствий, приведение СУИБ в соответствие требованиям данного стандарта. Аудит проводится сертификационным органом, имеющим соответствующую аккредитацию.

    Компания «Инфосистемы Джет» осуществляет поддержку заказчиков при проведении аудитов и помогает устранить выявленные несоответствия.

    Поддержка разработанной СУИБ или отдельных процессов

    Компания «Инфосистемы Джет» осуществляет:

    • подготовку СУИБ заказчика к проверочным аудитам: экспресс-обследование, определение работ, которые необходимо проделать для прохождения проверочного аудита органа по сертификации;
    • доработку или внедрение конкретных процессов СУИБ. Например, проведение ежегодного анализа рисков ИБ или проведение внутренних аудитов ИБ.

    Преимущества работы с компанией «Инфосистемы Джет»:

    • системный подход и собственная уникальная методика, которые позволяют быстро и эффективно разрабатывать и внедрять процессы обеспечения и управления ИБ;
    • сплоченная проектная команда сертифицированных специалистов, способная решать самые сложные задачи;
    • консультанты компанииявляются преподавателями по системам управления в BSI MS и привлекаются для проведения аудитов;
    • главный принцип работы – «каждая компания уникальна». Определяются потребности в области ИБ для каждого клиента и предлагаются решения, которые помогут обеспечить реальную защищенность информации, а не просто формальное выполнение требований (законодательства, партнеров, контрагентов, отрасли и т.д.) и договора.

    Выгоды

    Внедрение процедур управления и обеспечения ИБ позволяет:

    • оптимизировать и обосновывать расходы на информационную безопасность;
    • повысить эффективность обеспечения ИБ за счет достижения комплексности, взаимосвязанности, эффективности и прозрачности всех мер по обеспечению информационной безопасности;
    • обеспечить соответствие уровня ИБ как законодательным, отраслевым, внутрикорпоративным требованиям, так и бизнес-целям;
    • снизить операционные затраты за счет формализации и стандартизации процессов управления и обеспечения ИБ;
    • повысить доверие партнеров и клиентов компании за счет демонстрации высокого уровня зрелости обеспечения ИБ.

    Помимо этого, внедрение и сертификация СУИБ позволяет:

    • повысить капитализацию и стоимость акций компании;
    • повысить международные рейтинги компании, необходимые для привлечения зарубежных инвестиций и выхода на международные рынки;
    • защитить инвестиции.

    Опыт

    Специалисты компании «Инфосистемы Джет» обладают наибольшим опытом на территории СНГ по построению СУИБ и отдельных процессов управления ИБ, включая управление рисками ИБ, управление инцидентами ИБ и управление уязвимостями.

    Успешно выполнены пять крупных проектов по созданию и последующей подготовке СУИБ к сертификации на соответствие требованиям стандарта ISO/IEC 27001:2005 в компаниях:

    • ОАО «Межрегиональный Транзит Телеком»
    • ОАО «РОСНО»
    • ООО «Центр безопасности информации»
    • Askari Bank (Пакистан)
    • ООО «ЭЛЬДОРАДО»

    Также завершены более 30 проектов по построению отдельных процессов управления ИБ, поддержке СУИБ и их подготовке к надзорным аудитам со стороны органа по сертификации.

    Для информационной безопасности, чтобы быть эффективной, она должна быть тесно связана с безопасностью бизнеса и потребностями бизнеса.
    Каждый процесс в рамках ИТ-организации должен включать вопросы безопасности. Безопасность это не автономная деятельность; это нить, проходящая через все процессы поставщика услуг.
    Управление организации несет полную ответственность за организацию информации. Руководство несет ответственность за ответы на все вопросы, которые влияют на защиту информации. Совет директоров, должен сделать информационную безопасность неотъемлемой частью корпоративного управления.
    Разрешения

    Процесс и рамки управления информационной безопасностью, как правило, включают в себя:
    - Политика информационной безопасности, при поддержке подмножества политик, касающихся аспектов из стратегии, контроля и регулирования
    - Система управления информационной безопасностью
    - всеобъемлющей стратегия безопасности, тесно связанная с бизнес-целями, стратегиями и
    планами

    Модель безопасности также должна включать в себя эффективную организационную структуру.
    Безопасность не является обязанностью одного человека, необходимо рассматривать в профилях роли на всех уровнях организации.
    Управления безопасностью необходимо, чтобы поддерживать политику, и управлять рисками безопасности.
    Наконец, структура безопасности должна учитывать и включать в себя:
    - Мониторинг процесса для обеспечения соблюдения и обеспечения обратной связи по эффективности
    - Стратегию и план для безопасности, связанные с коммуникациями
    - Подготовку и стратегию и планы по обеспечению всех сотрудников знаниями по их обязанностям.

    Политика информационной безопасности

    Деятельность по управлению информационной безопасностью должна быть направлена на и управление Политикой информационной безопасности.
    Политика информационной безопасности должна иметь полную поддержку топ-менеджеров в управлении ИТ, а в идеале поддержка и приверженность высшего исполнительного управления бизнесом.
    Эта политика должна охватывать все сферы безопасности, быть адекватными и удовлетворять потребности бизнеса.
    Политика информационной безопасности должна быть широко доступна для всех клиентов и пользователей.
    Эта политика должна быть санкционирована высшим руководством бизнеса и ИТ.

    Все политики безопасности должны быть пересмотрены по крайней мере ежегодно, и в случае необходимости.

    Система управления информационной безопасностью

    Система управления информационной безопасностью это рамки политик, процессов, стандартов, руководящих принципов и инструментов, что гарантирует организации достижение своих целей в Управлении информационной безопасностью.

    Система менеджмента информационной безопасности обеспечивает основу для развития экономически эффективных программ информационной безопасности, которые поддерживают бизнес цели.
    Система должна учитывать не только технологии.

    Методики 4П (люди, процессы, продукты и партнеры) можно использовать, чтобы убедиться, в высоком уровне безопасности во всех областях.

    ISO 27001 является формальным стандартом, который может обеспечить независимую сертификацию Системы управления информационной безопасности. Организации могут добиваться сертификации, чтобы доказать их соответствия требованиям безопасности.

    Система управления информационной безопасностью включает в себя организационную структуру для разработки, внедрения, управления, поддержания и обеспечения соблюдения процессов обеспечения безопасности информацией и управления систематически и последовательно в рамках всей организации.

    Приведенная ниже диаграмма показывает подход к управлению информационной безопасностью
    Системы. Такой подход широко используется, и базируется на советах и рекомендациях, описанных в источниках, включая ISO 27001.

    Контроль

    Контроль информационной безопасности является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Управления Информационной Безопасностью, который описывает следующие подпроцессы: формулирование Планов по безопасности, их реализация, оценка реализации и включение оценки в годовые Планы по безопасности (планы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Управления Уровнем Сервиса.
    Этот вид деятельности определяет подпроцессы, функции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выполнении). Следующие меры из сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.

    Внутренние правила работы (политика):
    - разработка и реализация внутренних правил работы (политики), связи с другими правилами;
    - цели, общие принципы и значимость;
    - описание подпроцессов;
    - распределение функций и ответственностей по подпроцессам;
    - связи с другими процессами ITIL и их управлением;
    - общая ответственность персонала;
    - обработка инцидентов, связанных с безопасностью.

    Организация информационной безопасности:
    - структурная схема управления;
    - структура управления (организационная структура);
    - более детальное распределение ответственностей;
    - учреждение Руководящего комитета по информационной безопасности;
    - координация информационной безопасности;
    - согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);
    - описание процесса авторизации средств ИТ в консультации с заказчиком;
    - консультации специалистов;
    - сотрудничество между организациями, внутреннее и внешнее взаимодействие;
    - независимый аудит информационных систем;
    - принципы безопасности при доступе к информации третьих сторон;
    - информационная безопасность в договорах с третьими сторонами.

    Планирование

    Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

    Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным образом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков".

    Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.
    Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.

    Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.

    Реализация

    Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.

    Классификация и Управление ИТ-ресурсами:
    - предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;
    - классификация ИТ-ресурсов в соответствии с согласованными принципами.

    Безопасность персонала:
    - задачи и ответственности в описании работ;
    - отбор персонала;
    - соглашения о конфиденциальности для персонала;
    - обучение персонала;
    - руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;
    - дисциплинарные меры;
    - улучшение осведомленности по вопросам безопасности.

    Управление Безопасностью :
    - внедрение видов ответственности и распределение обязанностей;
    - письменные рабочие инструкции;
    - внутренние правила;
    - меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;
    - отделение среды разработки и тестирования от операционной (рабочей) среды;
    - процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);
    - использование средств восстановления;
    - предоставление входной информации для Процесса Управления Изменениями;
    - внедрение мер защиты от вирусов;
    - внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;
    - правильное обращение с носителями данных и их защита.

    Контроль доступа:
    - внедрение политики доступа и контроля доступа;
    - поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям;
    - поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы);
    - внедрение методов идентификации и авторизации компьютерных систем, рабочих станций и ПК в сети

    Оценка

    Существенное значение имеет независимая оценка реализации запланированных мероприятий. Такая оценка необходима для определения эффективности, ее выполнение также требуют заказчики и третьи стороны. Результаты подпроцесса оценки могут использоваться для корректировки согласованных с заказчиком мер, а также для их реализации. По результатам оценки могут быть предложены изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.
    Существует три вида оценки:
    - самостоятельная оценка: проводится в первую очередь линейными подразделениями организации;
    - внутренний аудит: проводится внутренними ИТ-аудиторами;
    - внешний аудит: проводится внешними ИТ-аудиторами.
    В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпроцессах. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита.
    Оценка также проводится как ответное действие в случае возникновения инцидентов.
    Основными видами деятельности являются:
    - проверка соответствия политике безопасности и реализация Планов по безопасности;
    - проведение аудита безопасности ИТ-систем;
    - определение и принятие мер несоответствующего использования ИТ-ресурсов;
    - проверка аспектов безопасности в других видах ИТ-аудита.

    Поддержка

    В связи с изменением рисков при изменениях в ИТ-инфраструктуре, в компании и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает поддержку соответствующих разделов по безопасности соглашений SLA и поддержку подробных Планов по безопасности (на Уровне Операционных Соглашений об Уровне Услуг).
    Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Предложения могут быть внедрены или в подпроцессе планирования, или в ходе обеспечения поддержки всего соглашения SLA. В любом случае внесенные предложения могут привести ко включению дополнительных инициатив в годовой План по безопасности. Любые изменения подлежат обработке в рамках обычного Процесса Управления Изменениями.

    Целями поддержки являются улучшение договоренности по вопросам безопасности, как
    указано в соглашениях об уровне обслуживания и соглашений оперативном уровне, и
    улучшение реализации мер безопасности и контроля.

    Обслуживание должно быть достигнуто с помощью Plan-Do-Check-Act цикла, который является
    формальным подходом, предложенным ISO 27001 для установления Информационной системы управления безопасностью. Это подробно описано в CSI.

    Когда процесс правильно реализован, управление информационной безопасностью должен иметь шесть основных результатов. Ниже приведен полный список результатов и связанных с ними данных.

    Стратегическое выравнивание:
    о Требования безопасности должны определяться корпоративными требованими
    о Решения безопасности должны соответствовать процессам предприятия
    о инвестиций в области информационной безопасности должны быть согласованы со стратегией предприятия и согласованными рисками

    Доставка Значение:
    о Стандартный набор методов безопасности, то есть требований Baseline Security соблюдении правил
    о Правильно распределенные приоритеты и усилия для областей с наибольшей отдачей и бизнес- выгод
    о Институционализированные и массовые решения
    о Комплексные решения, охватывающие организацию и процесс, а также технологии о культуре постоянного улучшения

    Управление рисками:
    о Согласованный профиль риска
    о Понимание подверженности риску
    о Осознание приоритетов управления рисками
    о Снижение риска
    о Риск принятия / уважение

    Управление производительностью:
    о Определен, согласован набор метрик
    о Определен процесс измерения, который поможет выявить недостатки и обеспечить обратную связь о ходе решения вопросов
    о Независимое обеспечение

    Управление ресурсами:
    о Знание собраны и доступны
    о документированы процессы и практики безопасности
    о Разработано архитектура безопасности для эффективного использования ресурсов инфраструктуры
    - обеспечение бизнес-процессов.