Разработка СУИБ и требования к СУИБ

Система управления информационной безопасностью (СУИБ) является частью общей системы, основанной на подходе анализа рисков, с целью создания, внедрения, эксплуатации, постоянного контроля, анализа, поддержки в рабочем состоянии и улучшения средств защиты информации. На основании нормативных документов определим, каким задачам, требованиям, характеристикам должна удовлетворять СУИБ с точки зрения стандартов.

На первом шаге в процессе управления безопасностью информационных технологий необходимо определить, какой общий уровень риска является приемлемым для данной организации. Правильно выбранный уровень приемлемого риска и, соответственно, допустимый уровень безопасности являются ключевыми моментами успешного управления безопасностью. Допустимый общий уровень безопасности определяется целями, которые ставит перед собой организация при создании системы обеспечения безопасности информационных технологий. Для того чтобы оценить и сформулировать такие цели, необходимо изучить имеющиеся активы и определить, насколько ценными они являются для данной организации. Главной целью построения СУИБ является оценка и удержание уровня риска в приемлемых значениях.

В качестве управляемых объектов выступают риски организации, а в качестве органов управления – защитные меры.

СУИБ должна обеспечивать выбор адекватных средств управления безопасностью, которые защищают информационные активы от возможных угроз, как случайных, так и преднамеренных. Необходимо определить источники таких угроз и оценить вероятность их реализации. Важно не упустить из виду ни одной возможной угрозы, так как в результате возможно нарушение функционирования или появление уязвимостей системы.

Полезным может быть использование перечня наиболее часто встречающихся угроз (примеры типичных видов угроз приведены в приложении С стандарта ISO 13335-3). Также полезно использование каталогов угроз (наиболее соответствующих нуждам конкретной организации или виду ее деловой деятельности), так как ни один перечень не может быть достаточно полным. Ниже приведены некоторые наиболее часто встречающиеся варианты угроз:

· ошибки и упущения;

· мошенничество и кража;

· случаи вредительства со стороны персонала;

· ухудшение состояния материальной части и инфраструктуры;

· программное обеспечение хакеров, например имитация действий законного пользователя;

· программное обеспечение, нарушающее нормальную работу системы;

· промышленный шпионаж.

Политика безопасности.

Должна быть сформирована политика безопасности и затем необходимо проводить ее в соответствии с направленностью деятельности организации, состоянием обеспечения безопасности, а также с учетом положений законодательства и нормативных документов в области обеспечения безопасности. Как минимум, политика должна включать следующее:

· определение информационной безопасности, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

· анализ рисков и изложение целей и принципов информационной безопасности, сформулированных руководством;

· безопасность аппаратно-программного обеспечения:

Ø идентификация и аутентификация;

Ø контроль доступа;

Ø журнал учета использования ресурсов и аудит;

· разделы, связанные с:

Ø безопасностью связи, например, криптографическая аутентификация и аутентификация сообщений;

Ø физической безопасностью;

Ø безопасностью документов и носителей информации;

Ø безопасностью персонала;

· определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

· ссылки на документы, дополняющие политику информационной безопасности, например, более детальные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

Требования к системе в целом.

СУИБ должна строиться по принципу модели PDCA. Она должны постоянно контролироваться и анализироваться, поддерживаться в рабочем состоянии и иметь возможность улучшения. Стандарт ISO 27001 выдвигает требования по каждому этапу жизненного цикла модели PDCA. Система должны обеспечивать:

· анализа рисков;

· выработку управляющего воздействия;

· проведение внутренних аудитов;

· контроль конфигурации и управление изменениями;

· управление инцидентами безопасности информации.

Требования к анализу рисков.

При проведении анализа рисков необходимо выбрать подход к анализу. В стандарте ISO 13335-3 выделяется четыре основных варианта анализа рисков.

Анализ рисков должен включать в себя следующее:

· установление границ рассмотрения – какие из ресурсов должны быть учтены при анализе рисков;

· идентификацию ресурсов;

· оценку активов. Оценку нужно проводить в соответствии со стандартом ISO 13335-3, где описываются два подхода к оценке. Первый заключается в инвентаризации всех активов и согласование масштабов оценки. Оценка может быть количественной (конкретная стоимость) или качественной (шкале в диапазоне от "очень низкой" до "очень высокой" цены). Другой подход к оценке активов основывается на затратах, понесенных по причине утраты конфиденциальности, целостности или доступности вследствие происшедшего инцидента;

· оценку угроз. После идентификации источника угроз (кто и что является причиной угрозы) и объекта угрозы (какой из элементов системы может подвергнуться воздействию угрозы) необходимо оценить вероятность реализации угрозы;

· оценку уязвимостей. Необходимо оценить, насколько велика степень уязвимости или насколько легко ее можно использовать. Степень уязвимости нужно оценивать по отношению к каждой угрозе, которая может использовать эту уязвимость в конкретной ситуации;

· оценку рисков. Метод оценки должен быть наиболее удобным для данной организации и внушающим доверие, результаты которого можно было бы воспроизвести.

Требования к управляющему воздействию.

СУИБ должна снижать уровень риска до приемлемого уровня. Это делается с помощью средств управления. Под средствами управления подразумеваются защитные меры. Они должны удовлетворить требованиям, выявленным на этапах оценки и обработки рисков. Технические меры защиты должны выбираться в соответствии с степенью риска для обеспечения функциональной пригодности и надежной системы безопасности. Функциональная пригодность системы должна включать в себя, как минимум:

· проведение идентификации и аутентификации пользователя;

· выполнение требований логического контроля допуска;

· обеспечение ведения контрольного журнала и регистрацию происходящих в системе безопасности событий;

· определение подлинности сообщений;

· шифрование информации.

Система безопасности должна обеспечивать необходимый уровень надежности при осуществлении функций безопасности и подвергаться различным проверкам и тестированиям безопасности, обеспечивающих подтверждение этого уровня.

Средства управления должны выбираться в соответствии с Приложением A стандарта ISO 27001 (они составлены из разделов 5—15 ISO/IEC 17799:2005).

Необходимо проводить оценку приемлемости рисков. После выбора защитных мер и идентификации снижения уровня риска в результате применения защитных мер всегда будут иметь место остаточные риски, поскольку система не может быть абсолютно безопасной. Эти остаточные риски должны оцениваться организацией как приемлемые или неприемлемые.

Требования к внутренним аудитам СУИБ.

Аудиты должна быть спланирована с учетом статуса и важности процессов и областей, которые нужно проверять, а также результатов предыдущих аудитов. Должны быть определены критерии, область приложения, частота и методы аудита. Выбор аудиторов и проведение аудитов должны гарантировать объективность и беспристрастность процесса аудита. Аудиторы не должны проверять свою собственную работу. Аудиты СУИБ должны проверяться через запланированные интервалы времени.

Требования к контролю конфигурации и управлению изменениями.

Информационные системы и окружающая среда, в которой они функционируют, постоянно изменяются. Изменения информационных систем есть результат появления новых защитных мер и услуг или обнаружения новых угроз и уязвимостей. Данные изменения могут также привести к новым угрозам и образованию новых уязвимостей поэтому, когда планируются или происходят изменения в информационной системе, важно определить, как это повлияет (если повлияет) на информационную безопасность системы в целом.

Таким образом, контроль конфигурации и управление изменениями должны включать следующее:

· обнаружение ошибок в результатах обработки;

· выявление предпринимаемых и успешных нарушений защиты и инцидентов;

· обнаружение событий в системе защиты информации;

· определение результативность мер защиты при нарушениях;

· измерение результативность средств управления для того, чтобы проверить, что требования защиты были удовлетворены;

· анализ оценки рисков через запланированные интервалы;

· анализ остаточных рисков;

· внедрение выявленных улучшений СУИБ;

· осуществление надлежащих корректирующих и предупреждающих действий;

Требования к управлению инцидентами безопасности информации.

СУИБ должна содержать подсистему управления инцидентами, которая собирает информацию по инцидентам, связанным с нарушением безопасности, и проводит ее анализ. Эта информация необходима для поддержки процесса анализа.

Подсистема обработки инцидентов должна включать:

· подготовку, которая должна содержать предупреждающие меры со стороны руководства организации, рекомендации и процедуры по обработке инцидентов (включая сохранение доказательных данных, обслуживание файлов регистрации данных по событиям и связь с общественностью), необходимые документы, планы обеспечения бесперебойной работы информационной системы;

· уведомление, которое должно содержать процедуры, средства и обязанности по регистрации информации об инцидентах;

· оценку, которая должна содержать процедуры и обязанности по расследованию инцидентов и определению уровня их опасности;

· управление, которое должно содержать процедуры и обязанности по обработке инцидентов, снижению ущерба от них и уведомлению вышестоящего руководства;

· восстановление, которое должно содержать процедуры и обязанности по восстановлению нормальной работы;

· анализ, который должен содержать процедуры и обязанности при выполнении действий после инцидента, включая расследование юридических аспектов инцидента и анализ тенденций.

Требования к документации.

Документация должна включать записи о решениях руководства, обеспечивать прослеживаемость действий до решений руководства и политики, а также обеспечивать воспроизводимость результатов.

Документация СУИБ должна включать следующее:

· процедуры и средства управления в поддержку СУИБ;

· описание методологии оценки рисков;

· отчет об оценке рисков;

· план обработки рисков;

· документированные процедуры, необходимые организации для того, чтобы гарантировать результативное планирование, работу и управление ее процессами защиты информации, а также для того, чтобы описать, как измерять результативность средств управления;

· записи, в которых должны быть отражены показатели процесса создания СУИБ, а также все эпизоды значительных инцидентов в системе безопасности.

Существует достаточно большое количество различных нормативных документов для построения СУИБ, которые дополняют друг друга. В документах прописываются этапы разработки, построения, эксплуатирования и модернизации системы. Для каждого этапа раскрываются общие методы, средства, способы, которые должны быть использованы для построения СУИБ. Важно чтобы система могла активно реагировать на внутренние и внешние воздействия, принимать адекватные меры для борьбы с неблагоприятными воздействиями, а так же могла гибко изменяться в зависимости от этих воздействий. Главная задача СУИБ состоит в снижении и удержании рисков на нужном уровне. С точки зрения систем управления управляющим параметром здесь являются риски, а регулирующим органом – применяемые средства защиты.

Контрольные вопросы

1. Каким стандартам необходимо следовать при построении СУИБ?

2. Что регламентируется в стандарте ISO 27002?

3. Что регламентируется в стандарте ISO 18044?

4. Что должна обеспечивать СУИБ?

5. Какова главная задача СУИБ?

Дата добавления: 2014-11-20; Просмотров: 2506; Нарушение авторских прав?; Мы поможем в написании вашей работы!