В современном мире организации сталкиваются с большим количеством угроз разного характера, исходящих из разных источников и представляющие опасность для информационной системы (ИС) организации и, следовательно, для достижения ею своих бизнес-целей. Основная цель обеспечения информационной безопасности организации – безопасное использование информационных технологий, т.е. функционирование ИС в соответствии с установленными требованиями без неприемлемого ущерба.
Что же понимается под системой управления ИБ?
Система управления информационной безопасностью (далее – СУИБ, ISMS) является частью общей системы управления, предназначенная для проектирования, реализации, контроля, сопровождения и совершенствования мер в области информационной безопасности.
ISMS – это превентивный подход к непрерывному и эффективному управлению информационной безопасностью на высшем уровне, включая персонал, инфраструктуру и бизнес. Основная его цель – это снижение рисков до приемлемого уровня, учитывая бизнес-цели и требования клиентов. Концепция ISMS применима для любой специфичной отрасли индустрии.
Среди основных функций системы управления информационной безопасностью можно назвать следующие:
• Определение целей, стратегий и политик по обеспечению безопасности ИТ;
• Определение требований к безопасности ИТ;
• Развитие политики безопасности;
• Распределение ответственности и идентификация ролей по обеспечению безопасности ИТ;
• Управление рисками;
• Мониторинг и управление внедрением и оперированием средствами обеспечения информационной безопасности;
• Развитие и поддержка программы информированности сотрудников об обеспечении ИБ;
• Управление конфигурациями и изменениями;
• Управление непрерывностью ведения бизнеса;
• Аудит систем безопасности и реагирование на инциденты в безопасности ИТ.
Для получения наиболее полной и объективной оценки защищенности информационной системы проводят Аудит ИБ, который представляет собой независимую оценку текущего состояния системы ИБ и позволяет установить уровень ее соответствия определенным критериям.
Аудит ИБ позволяет локализовать имеющиеся проблемы и разработать эффективную программу построения системы обеспечения ИБ организации.
В рамках аудита или в ходе отдельного проекта может быть проведен тест на проникновение, позволяющий проверить способность ИС компании противостоять попыткам проникновения в сеть и неправомочного воздействия на информацию.
Одной из составляющих системы управления ИБ является разработка Политики информационной безопасности (ПИБ), которая представляет собой комплекс превентивных мер по защите конфиденциальных данных и информационных процессов на предприятии.
Необходимость разработки ПИБ объясняется необходимостью формирования основ планирования и управления информационной безопасностью. Цель разработки ПИБ – минимизация рисков бизнеса путем защиты интересов компании в информационной сфере, планирования и поддержки непрерывности ведения бизнеса, снижения издержек и повышения эффективности инвестиций в защиту информации.
Политика информационной безопасности содержит требования к персоналу, менеджерам и техническим службам. Она определяет, какие данные и насколько серьезно необходимо защищать; кто и какой ущерб может нанести компании в информационном аспекте; оценивает риски и определяет схемы уменьшения их до приемлемой величины.
При разработке ПИБ используются рекомендации ведущих международных стандартов в области планирования и управления информационной безопасности: ISO/IEC 17799:2005, ISO/IEC 27001:2005, BSI (British Standart Institute), CobiT (Control Objectives for Information and related Technology), ITIL (Information Technology Infrastructure Library).
Разработка адекватной и актуальной ПИБ позволит повысить уровень доверия к компании со стороны акционеров, потенциальных инвесторов, деловых партнеров, профессиональных участников рынка ценных бумаг, уполномоченных государственных органов и других заинтересованных сторон.
Комплексный подход к построению системы управления информационной безопасностью предполагает также прохождение компанией сертификаций на соответствие международным стандартам ISO 27001:2005 (BS 7799-2), PCI DSS (набор требований к обеспечению безопасности данных держателей платежных карт).
Под сертификацией системы управления информационной безопасностью организации по требованиям британского стандарта ISO 27001:2005 (BS 7799-2) понимается комплекс организационно-технических мероприятий, проводимых независимыми экспертами, в результате чего подтверждается наличие и надлежащее функционирование всех рекомендуемых стандартом механизмов контроля, применимых в данной организации.
На этапе подготовки к сертификации осуществляется проектирование и внедрение недостающих механизмов контроля, их интеграция в существующую организационную и программно-техническую инфраструктуру организации, а также оценка эффективности и совершенствование существующих механизмов контроля.
После проведения аудита информационная система компании становится "прозрачнее" для менеджмента, выявляются основные угрозы безопасности для бизнес-процессов, вырабатываются рекомендации по повышению текущего уровня защищенности для защиты от обнаруженных угроз и недостатков в системе безопасности и управления. В результате компании предлагается комплексный план внесения изменений в систему управления информационной безопасностью, как для повышения реального уровня защищенности, так и для непосредственного соответствия стандарту.
Сертификация на соответствие стандарту ISO 27001:2005 (BS 7799:2) позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление информационной безопасностью. В свою очередь это обеспечивает компании конкурентное преимущество, демонстрируя способность управлять информационными рисками, при этом также увеличивается капитализация компании.
PCI DSS (Стандарт защиты информации в индустрии платежных карт) - это набор требований к обеспечению безопасности данных держателей карт, разработанный международными платежными системами VISA, MasterCard, American Express, JCB, Discover.
Стандарт представляет собой перечень требований в отношении систем управления безопасностью, сетевой инфраструктуры, политик, процедур, разработки программного обеспечения и других мер защиты данных владельцев банковских карт. Требования, определенные в стандарте, предназначены для выполнения в первую очередь финансовыми учреждениями, торговыми фирмами и поставщиками услуг, которые хранят, передают или обрабатывают данные владельцев карт в ходе повседневной деятельности.
Таким образом, при создании системы информационной безопасности следует использовать комплексный подход, который предполагает использование технических средств защиты наряду с решением вопросов упорядочивания и управления информационной безопасностью. Это позволяет выработать общую стратегию развития системы информационной безопасности, определить цели и этапы внедрения системы, осуществить ее интеграцию в уже сложившуюся инфраструктуру компании.
Важным условием эффективности системы информационной безопасности является ее управляемость. Зачастую современная корпоративная система ИБ имеет сложную многокомпонентную, многоуровневую, территориально и логически распределенную архитектуру. Построение интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а следовательно отслеживание событий, связанных с ИБ.
На основе многолетнего опыта работы по проектам обеспечения информационной безопасности, компанией Инком разработан интегрированный набор необходимых подсистем архитектура систем ИБ. В данный комплекс входят:
• подсистема защиты периметра сети и межсетевых взаимодействий (межсетевые экраны и т.п.);
• подсистема защиты серверов сети;
• средства защиты рабочих станций;
• подсистема мониторинга и аудита безопасности;
• средства обнаружения атак и автоматического реагирования;
• подсистема комплексной антивирусной защиты;
• средства анализа защищенности и управления политикой безопасности;
• средства контроля целостности данных;
• средства криптографической защиты информации;
• инфраструктура открытых ключей (PKI);
• подсистема резервного копирования и восстановления данных; автоматизированная система установки обновлений ПО;
• средства управления системой ИБ;
• подсистема аутентификации и идентификации.
Этапы работ по построению и сертификации системы управления информационной безопасностью
Создание сбалансированной системы управления ИБ производится поэтапно:
1. Утверждение плана внедрения СУИБ
Согласование с руководством плана по внедрению СУИБ на основании международного стандарта ISO/IEC 27001.
2. Предварительное обследование
На данном этапе определяется область применения и границ СУИБ, проводится аудит на соответствие существующих механизмов управления стандарту ISO/IEC 27001.
3. Постановка процесса управления рисками
Разработка и согласование методологии по оценке рисков, выявление и разработка модели угроз, разработка матрицы рисков, ее ранжирование; выбор целей управления и средств для минимизации рисков, согласование с руководством предложенных остаточных рисков.
4. Разработка Политики и подполитик ИБ (BCP/DRP)
Разработка Политики СУИБ, подполитик, положений, руководств, процедур; разработка Плана по восстановлению (Business Continuity Plan – BCP/DRP).
5. Внедрение механизмов контроля
На данном этапе проектируются механизмы контроля СУИБ, разрабатываются рекомендации по их внедрению.
6. Предсертификационный аудит
Контроль (мониторинг) механизмов на соответствие стандарту и соответствующим нормативным и установочным актам.
7. Внесение изменений и корректирующие мероприятия
Разработка плана корректирующих мер.
8. Аудит документации
Проведение проверки соответствия построенной СУИБ проектной, технической документации, разработанной архитектурной модели; планирование аудита внедрения.
9. Аудит внедрения
Проверка функционирования и степени внедрения СУИБ.
10. Ресертификация (каждые 2-3 года)
Подготовка к ресертификации (сбор требуемой документации, опрос специалистов, проведение внутреннего аудита); проведение повторной сертификации.