- Организационная модель безопасности
- Компоненты программы безопасности
- Стандарты безопасности
- Управление безопасностью на стратегическом уровне
- Разработка программы безопасности
Обновлено: 05.03.2010
Организационная модель безопасности является структурой, состоящей из многих элементов, механизмов защиты, логических, административных и физических компонентов, процедур, бизнес-процессов и конфигураций, которые работают совместно, обеспечивая необходимый уровень безопасности окружения. Каждая модель имеет свои отличия, но все модели реализованы в виде слоев: каждый слой поддерживает вышестоящий слой и защищает нижестоящий слой. Поскольку модель безопасности является структурой, компании могут наполнять ее различными видами технологий, методов и процедур для достижения необходимого уровня защиты своего окружения. Рисунок 1-4 иллюстрирует компоненты, из которых может состоять модель безопасности.
Рисунок 1-4. Комплексная и эффективная модель безопасности имеет множество отдельных компонентов
Эффективная безопасность требует взвешенного подхода и применения всех компонентов и процедур безопасности. Некоторые компоненты безопасности являются техническими (списки контроля доступа, шифрование), а некоторые - не техническими (физическими и административными, такими, как разработка политики безопасности и обеспечение соответствия ей), но каждый имеет важное место в рамках общей модели. Если один компонент отсутствует или реализуется не в полной мере, это может оказать негативное воздействие на всю структуру.
Модель безопасности имеет различные слои и различные виды целей, которые должны быть достигнуты за различные промежутки времени. Цели могут быть ежедневными (операционными), среднесрочными (тактическими) и долгосрочными (стратегическими). То же самое происходит и в сфере планирования безопасности. Ежедневные (операционные) цели связаны с продуктивностью и выполнением текущих задач, обеспечивающих функционирование компании предсказуемым образом. Среднесрочной (тактической) целью является, например, объединение всех рабочих станций и ресурсов в один домен, чтобы обеспечить возможность централизованного контроля. Примером долгосрочных (стратегических) целей может являться перевод всех филиалов на связь с головным офисом посредством VPN-соединений, объединение всех беспроводных технологий с целью единого подхода к обеспечению их безопасности.
Стратегическое планирование работает с планами, которые находятся на одном уровне с бизнес-целями и целями ИТ. Цели стратегического планирования долгосрочны и имеют широкий горизонт. Стратегическое планирование может включать некоторые из следующих целей:
- Обеспечить правильное понимание и учет рисков
- Обеспечить соответствие требованиям законодательства и регуляторов
- Интегрировать обязанности по безопасности в деятельность компании
- Создать модель зрелости для обеспечения постоянного улучшения
- Использовать безопасность как бизнес-преимущество, чтобы привлечь больше клиентов
И, наконец, оперативное планирование – это весьма конкретные планы, сроки и цели. Оперативное планирование предполагает указание конкретных мероприятий, установление жестких сроков и графиков выполнения плана. Это конкретные действия, которые нужно предпринять для достижения целей тактических и стратегических планов. Ниже приводятся несколько примеров оперативного планирования:
- Выполнения оценки рисков безопасности
- Недопущение негативного влияния изменений в системе безопасности на продуктивность
- Поддержка и внедрение защитных мер
- Постоянное сканирование уязвимостей и установка программных обновлений
- Контроль соответствия политикам
В настоящее время компании, корпорации, государственные учреждения и частные лица значительно больше внимания уделяют вопросам информационной безопасности, чем когда-либо прежде. Специалисты по безопасности приветствуют это, поскольку это означает большую степень вовлеченности в вопросы безопасности тех, кто принимает решения в компании. Ведь технологии являются лишь небольшой частью общей организационной безопасности компании. Однако наиболее часто события в компаниях развиваются по следующему сценарию.
Генеральный директор и совет директоров вынуждены обратить внимание на вопросы информационной безопасности, так как появляются новые требования законодательства, существенно возрастает ущерб от вирусных атак, против компании подаются судебные иски за нарушение защиты информации. Компания обычно нанимает консультанта, который объясняет генеральному директору и совету директоров, что они нуждаются в политике безопасности и оценке информационных активов. Компания платит за проведение этих работ и верит в то, что теперь она защищена. Однако это ложное чувство, поскольку в компании до сих пор нет программы безопасности.
Затем компания нанимает специалиста по безопасности (обычно называемого CSO - Corporate Security Officer (руководитель Службы безопасности компании) или CISO - Corporate Information Security Officer (руководитель Службы информационной безопасности компании)) и делегирует ему всю работу по обеспечению безопасности и ответственность за нее, но не дает при этом ему каких-либо реальных полномочий и бюджета. Потом, когда инциденты с безопасностью все же случаются, всю ответственность за это возлагают на CISO (CSO).
Таким образом, специалисты по безопасности имеют 3 возможных варианта действий:
- Спрятать голову в песок, и надеяться, что проблемы обойдут стороной компанию в целом и этого специалиста в частности
- Продолжать работать в том же духе, виня судьбу за все разочарования
- Понимая, что наше общество делает только первые шаги в развитии информационной безопасности, изучать и использовать лучшие практики, уже разработанные в данной отрасли
Важно, чтобы вопросы безопасности обсуждались и указывались в отчетах на максимально высоком уровне управления компанией, так как негативное воздействие на бизнес проблем безопасности и несоответствия требованиям может быть катастрофическим. Отчитываясь перед CEO (Chief Executive Officer – генеральный директор или президент компании) и другими руководителями высшего звена, CISO должен предоставить достоверную информацию и исключить любое недопонимание. Помимо высшего руководства CISO должен предоставлять отчеты и информацию в департамент ИТ, административный департамент, департамент страхования и управления рисками, юридический департамент, департамент внутреннего аудита, а также в бизнес-подразделения.
CobiT (Control Objectives for Information and related Technology) – это набор стандартов и лучших практик, разработанный ISACA (Information Systems Audit and Control Association) и ITGI (IT Governance Institute). CobiT определяет цели контроля ИТ, которые следует использовать для надлежащего управления ИТ и обеспечения соответствия информационных технологий компании потребностям ее бизнеса. CobiT состоит из четырех доменов: Планирование и Организация, Приобретение и Внедрение, Эксплуатация и Сопровождение, Мониторинг и Оценка. Каждый домен делится на подкатегории.
Таким образом, домены CobiT предоставляют компаниям цели и инструкции, применимые при покупке, установке, тестировании, сертификации и аккредитации ИТ-продуктов. CobiT очень полезен, т.к. большинство компаний используют неформальные и непродуманные подходы при закупке ИТ-продуктов и выполнении процедур. Многие требования, а также аудиты основываются на стандарте CobiT. Поэтому, если вы хотите сделать своих аудиторов счастливыми, изучайте, используйте в работе, внедряйте контрольные объекты, которые считаются лучшими практиками.
Людей, которые впервые видят CobiT, он просто ошеломляет, так как он имеет очень большой объем и не поддается полномасштабному внедрению даже за пару лет. По каждой из категорий CobiT определяет цели и методы контроля, целевые показатели, факторы успеха, а также модель зрелости. В нем излагается подробный план, которому можно следовать для выполнения каждой из 34 предусмотренных в нем целей контроля.
Рисунок 1-5 показывает, как структура CobiT объединяет бизнес требования, ИТ-ресурсы и ИТ-процессы. Многие аудиторы информационной безопасности используют CobiT в качестве критериев оценки результативности применяемых защитных мер. Поэтому, если вы хотите успешно пройти аудит, компании было бы неплохо знать и осмысленно выполнять указанные в CobiT задачи управления.
Рисунок 1-5. Компоненты CobiT
CobiT основан на стандарте COSO, разработанном в 1985 году (разработчик: Committee of Sponsoring Organizations of the Treadway Commission) для борьбы с мошеннической финансовой деятельностью и недостоверной отчетностью. Структура COSO состоит из следующих компонентов:
- Управление средой
- Философия управления и стиль работы
- Культура компании, как отношение к этике и мошенничеству
- Оценка риска
- Определение целей в области рисков
- Возможность управлять внутренними и внешними изменениями
- Деятельность по контролю
- Политики, процедуры и практика, применяемая для снижения риска
- Информация и коммуникации
- Структура, обеспечивающая что только уполномоченные лица получают достоверную информацию в то время, когда она им необходима
- Мониторинг
- Выявление и реакция на недостатки контроля
Разработка и внедрение программы безопасности не так сложны, как кажутся многим компаниям, однако это новые для них вещи, которые представляются страшными и запутанными. Поэтому им следует обратиться к отраслевым стандартам и лучшим практикам, которые дают конкретные рекомендации по созданию и реализации полноценной программы безопасности.
Наиболее широко для этих целей используется стандарт ISO 17799, основой которого является Британский Стандарт BS 7799. Это признанный на международном уровне стандарт управления информационной безопасностью, который предоставляет высокоуровневые концептуальные рекомендации по обеспечению безопасности компании. BS 7799 состоит из двух частей: в первой части описываются цели управления и ряд средств управления, которые могут быть использованы для достижения этих целей, а во второй части приводится порядок внедрения и поддержки программы безопасности. Вторая часть BS 7799 является базисом, на соответствие которому может быть сертифицирована компания. Сертификация компании может проводиться, например, с целью повышения доверия к ней со стороны клиентов и партнеров, а также с целью использования факта сертификации в качестве инструмента маркетинга. Сертификацию проводит уполномоченная независимая третья сторона, при этом компания может быть сертифицирована на соответствие всему ISO 17799 Part II, либо только отдельным его частям.
В настоящее время мы перешли от стандарта ISO 17799 к целой группе стандартов ISO, которые помогут вам понять и структурировать эти лучшие практики. ISO использует различные номера серий для различных видов стандартов. Например, серия ISO 9000 содержит ряд стандартов, которые относятся к управлению качеством для бизнес-процессов. Новая серия ISO/IEC 27000 используется для стандартов безопасности и гарантий. ISO подкорректировал стандарты 17799 для их соответствия новому формату нумерации. Ниже представлены стандарты ISO/IEC, которые следует использовать компаниям при разработке своей программы безопасности:
- ISO/IEC 27001. Основан на стандарте BS7799 Part II, связанном с организацией, внедрением, контролем и совершенствованием Системы управления информационной безопасностью.
- ISO/IEC 27002. Свод правил по управлению защитой информации (предыдущее название – ISO 17799), основан на стандарте BS 7799 Part I.
- ISO/IEC 27004. Стандарт для измерений в области управления информационной безопасностью.
- ISO/IEC 27005. Предназначен для реализации надлежащей информационной безопасности на основе ориентированного на риски подхода.
- ISO/IEC 27006. Руководство по процессу сертификации / регистрации.
- ISO/IEC 27799. Руководство по защите персональных данных о здоровье.
- Политика информационной безопасности компании. Карта бизнес-целей в отношении безопасности, поддержки со стороны руководства, целей безопасности и обязанностей.
- Создание инфраструктуры информационной безопасности. Создание и поддержка организационной структуры безопасности посредством распределения обязанностей по безопасности, процессов авторизации, учета требований безопасности при аутсорсинге, независимого контроля обеспечения информационной безопасности.
- Классификация и управление активами. Разработка инфраструктуры безопасности для защиты активов компании посредством учета, инвентаризации, классификации, процедур использования активов.
- Безопасность, связанная с персоналом. Снижение рисков, вызванных "человеческим фактором" за счет тщательного отбора персонала, определения ролей и обязанностей, надлежащего обучения сотрудников, документирования мер воздействия в случае несоблюдения требований.
- Физическая безопасность и безопасность окружения. Защита активов компании посредством правильного размещения здания компании, установления и поддержания периметра безопасности, внедрения контроля доступа, защиты оборудования.
- Управление коммуникациями и функционированием. Обеспечение безопасности функционирования посредством операционных процедур, надлежащего управления изменениями, разделения обязанностей, планирования ресурсов, управления сетью, работы с носителями информации, мониторинга.
- Контроль доступа. Контроль доступа к активам на основе требований бизнеса, управления пользователями, методов аутентификации.
- Разработка и поддержка систем. Обеспечение безопасности на всех этапах жизненного цикла систем посредством разработки требований безопасности, криптографии, контроля целостности и процедур разработки программного обеспечения.
- Управление инцидентами безопасности. Обеспечение своевременного получения сведений о произошедших инцидентах и возникших уязвимостях, разработка порядка управления инцидентами и их анализа.
- Управление непрерывностью бизнеса. Противодействие нарушению нормального функционирования посредством планирования непрерывности и тестирования планов.
- Соответствие требованиям. Обеспечение соответствия требованиям регуляторов, законодательства, условиям договоров и другим предписанным требованиям, посредством технических средств контроля и аудита.
Ссылки по теме:
- ISO
- The ISO 17799 Community Portal
- ISACA CobiT Framework
- IT Infrastructure Library (ITIL)
Стратегическое управление безопасностью - очень похоже по своему характеру на корпоративное управление и управление ИТ на том же уровне, поскольку существуют дублирующиеся функции и задачи во всех трех. Все три вида управления работают в рамках организационной структуры компании, и имеют одни и те же цели – обеспечение выживания и процветания компании, просто каждый вид управления фокусируется на своей части. Количество требований, которым должны удовлетворять компании, постоянно растет. Советы Директоров компаний несут все больше и больше ответственности за работу бизнеса и эффективность всей компании. В связи с этим, более важную роль начинает играть стратегическое управление безопасностью и защитой информации, что обеспечивает использование надлежащих механизмов и предоставление Совету Директоров (и руководству компании) возможности эффективного надзора с целью управления рисками, поддержания их на приемлемом для компании уровне и ограничения потенциального ущерба.
Существует множество различных определений стратегического управления безопасностью. Вот вариант определения, подготовленного ITGI: "Стратегическое управление (governance) – это набор функций, выполняющихся Советом Директоров и высшим руководством, которые задают стратегическое направление, контролируют достижение целей, надлежащее управление рисками и ответственное использование ресурсов компании".
Это абсолютно правильное определение, но оно очень высокоуровневое и его трудно понять. Чтобы упростить понимание, давайте сравним две компании. Компания "А" внедрила эффективную программу стратегического управления безопасностью, а компания "Б" нет. Обе компании имеют политику безопасности, процедуры, стандарты, одинаковые технологии управления безопасностью (межсетевые экраны, системы выявления вторжений, системы управления идентификацией и т.д.), подразделение безопасности, которой руководит CISO. Может показаться, что уровень безопасности компаний "А" и "Б" одинаков... Но это не так. Посмотрите на некоторые критические различия, приведенные в таблице 1-1.
Таблица 1-1. Сравнение компании "А" и компании "Б"
Большинство компаний на сегодняшний день имеют множество частей программы безопасности (политики, стандарты, межсетевые экраны, подразделение безопасности, системы выявления вторжений и т.д.), но руководство в обеспечении безопасности не участвует, а безопасность не интегрирована в деятельность компании. За обеспечение безопасности компании отвечает исключительно подразделение безопасности, что является невозможным практически. Безопасность в таких компаниях является вопросом техники. Но сегодня в мире информационной безопасности такой подход не работает. Сегодняшняя безопасность – это намного большее, чем чисто техническое решение. Специалисты по безопасности должны понимать, что безопасность должна соблюдаться в рамках всей компании, и крайне важно иметь несколько центров ответственности и подотчетности. Стратегическое управление безопасностью является целостной системой, состоящей из различных компонентов (технических средств, персонала, процессов, политик и т.д.), которые существуют для выживания и процветания компании.
ПРИМЕЧАНИЕ. Следует также учитывать такой важнейший фактор, как корпоративная культура компании. Даже если компания использует самые современные и передовые решения на рынке, она не сможет обеспечить необходимый уровень безопасности, если эти решения используются необученным, апатичным и беззаботным персоналом. Оценка культуры компании, очень важна при оценке положения безопасности в ней.Для того, чтобы обеспечить управление безопасностью, должно быть нечто такое, чем можно управлять. Набор объектов управления, которыми должна обладать компания, в общем виде называется программой безопасности.
Важно понимать, что программа безопасности имеет непрерывный жизненный цикл, т.к. она должна постоянно оцениваться и совершенствоваться. Для описания жизненного цикла программы безопасности, будем использовать следующие шаги:
- Планирование и Организация
- Реализация (внедрение)
- Функционирование и Поддержка
- Мониторинг и Оценка
- Написанные политики и процедуры, не отражаются на деятельности по обеспечению безопасности и не поддерживают ее
- Отсутствует взаимодействие и координация между различными сотрудниками компании, задействованными в обеспечении защиты ее активов
- Не проводится оценка результатов, отдачи от инвестиций и распределения ресурсов
- Отсутствует понимание недостатков программы безопасности, не применяются единообразные способы исправления недостатков
- Нет гарантий соответствия требованиям законодательства, регуляторов, требованиям политик
- Компания полностью полагается на технологии для решения всех вопросов безопасности
- Отсутствует единый орган принятия решений в компании
- К любым нарушениям применяется подход "пожарной тревоги", а не спокойный проактивный, детективный подход
- Появляется ложное чувство безопасности
Основные элементы каждой фазы жизненного цикла программы безопасности представлены ниже:
- Планирование и Организация
- Получение одобрения от руководства
- Создание руководящего комитета по надзору (oversight steering committee)
- Оценка бизнес-драйверов (бизнес-драйверы – это люди, информация или задачи, которые обеспечивают реализацию бизнес-целей компании)
- Создание профиля угроз компании
- Проведение оценки рисков
- Разработка архитектуры безопасности на организационном, прикладном, сетевом и компонентном уровнях
- Определение решений на каждом уровне архитектуры
- Получение согласия руководства на дальнейшие действия
- Реализация (внедрение)
- Распределение ролей и обязанностей
- Разработка и внедрение политик безопасности, процедур, стандартов, базисов и руководств
- Выявление критичных данных на этапах хранения и передачи
- Реализация следующих проектов:
- Идентификация и управление активами
- Управление рисками
- Управление уязвимостями
- Соответствие требованиям
- Управление идентификацией и доступом
- Управление изменениями
- Жизненный цикл разработки программного обеспечения
- Планирование непрерывности бизнеса
- Обучение и повышение осведомленности
- Физическая безопасность
- Реакция на инциденты
- Внедрение решений (административных, технических, физических) по каждому проекту
- Разработка решений по аудиту и мониторингу для каждого проекта
- Установка целей, соглашений об уровне обслуживания (SLA) и метрик по каждому проекту
- Эксплуатация и Сопровождение
- Соблюдение установленных процедур для обеспечения соблюдения базисных уровней в каждом реализованном проекте
- Проведение внутренних и внешних аудитов
- Выполнение задач, намеченных в каждом проекте
- Управление соглашениями об уровне обслуживания по каждому проекту
- Мониторинг и Оценка
- Анализ лог-файлов, результатов аудита, собранных значений метрик и SLA по каждому проекту
- Оценка достижения целей по каждому проекту
- Проведение ежеквартальных встреч с руководящими комитетами
- Совершенствование действий каждого этапа и их интеграция в фазу Планирования и Организации
ПРИМЕЧАНИЕ. Различные компании, консультанты и специалисты по безопасности могут использовать различные подходы к созданию программы безопасности, но в общем они охватывают те же разделы. Каждая компания имеет различные приемлемые для нее уровни риска, внедренные защитные меры, угрозы и бизнес-драйверы, однако их программы безопасности в основном содержат похожие элементы – просто одна компания больше внимания уделяет одним элементам, а другая – другим. Это связано с деятельностью компаний и их потребностях в безопасности.Модели и структуры весьма полезны, но они находятся на очень высоком уровне. Для воплощения их в жизнь необходимо разработать соответствующие проекты (blueprint). Проекты должны соответствовать требованиям безопасности компании, основанным на обязательствах компании, бизнес-драйверах и внутренних требованиях. Например, компания "В" имеет политику конфиденциальности, подразделение безопасности компании разработало стандарты и процедуры, реализующие стратегию обеспечения конфиденциальности, которым все сотрудники компании должны следовать. Затем разрабатывается проект, в проектной документации к которому указывается больше деталей, учитываются процессы и компоненты, к которым относятся требования политики, стандартов и процедур. В проектной документации должно быть, как минимум, следующее:
- Схема сети компании
- Места в сети, где находятся критичные данные
- Сегменты сети, через которые проходят критичные данные
- Различные применяемые решения по безопасности (VPN, SSL, PGP), которые защищают критичные данные
- Подключения третьих сторон, с которыми совместно используются критичные данные
- Используемые меры безопасности в отношении подключений третьих сторон
- И многое другое ...
- Управление безопасностью
- Непрерывность бизнеса
- Журналирование и мониторинг
- Управление идентификацией
- Целостность приложений
- Инфраструктура
- Управление активами
- Физическая безопасность и безопасность окружения
- И многое другое ...
Рисунок 1-6. Проекты должны быть отображением требований бизнеса и безопасности
В этой части много изменений.
ОтветитьУдалить- Подробнее рассказано про виды планирования.
- Акцентировано внимание на задачах CISO.
- Добавился раздел 3.2 "Структура безопасности".
- Добавился раздел 3.3 "Управление безопасностью на стратегическом уровне".
- Добавился подраздел "Разработка программы безопасности".
- Ссылки, закладки, рисунки.
Актуализирована информация по серии стандартов ISO/IEC 27000
ОтветитьУдалить