Цель управления ИБ состоит в сохранении конфиденциальности, целостности и доступности информации. Вопрос только в том, какую именно информацию необходимо охранять и какие усилия прилагать для обеспечения её сохранности (рис. 5).
Рис. 5. Взаимосвязь процессов управления и защиты в организации
Любое управление основано на осознании ситуации, в которой оно происходит. В терминах анализа рисков осознание ситуации выражается в инвентаризации и оценке активов организации и их окружения, т. е. всего того, что обеспечивает ведение бизнес-деятельности. С точки зрения анализа рисков ИБ к основным активам относятся непосредственно информация, инфраструктура, персонал, имидж и репутация компании. Без инвентаризации активов на уровне бизнес-деятельности невозможно ответить на вопрос, что именно нужно защищать. Очень важно понять, какая информация обрабатывается в организации и где выполняется её обработка.
В условиях крупной современной организации количество информационных активов должна быть очень велико. Если деятельность организации автоматизирована при помощи ERP-системы, то можно говорить, что практически любому материальному объекту, использующемуся в этой деятельности, соответствует какой-либо информационный объект. Поэтому первоочередной задачей управления рисками становится определение наиболее значимых активов.
Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации (но об этом чуть позже).
Идентифицировать и локализовать информацию можно на основании описания бизнес-процессов, в рамках которых информация воспринимается как один из типов ресурсов. Задача несколько упрощается, в случае если в организации принят подход регламентации бизнес-деятельности (например, в целях управления качеством и оптимизации бизнес-процессов). Формализованные описания бизнес-процессов служат хорошей стартовой точкой для инвентаризации активов. Если описаний нет, можно идентифицировать активы на основании сведений, полученных от сотрудников организации. После того как активы идентифицированы, необходимо определить их ценность.
Активы (ресурсы) – это все, что имеет ценность или находит полезное применение для организации, ее деловых операций и обеспечения их непрерывности. Поэтому активы нуждаются в защите для того, чтобы обеспечить корректность деловых операций и непрерывность бизнеса. Надлежащее управление и учет активов должны являться одной из основных обязанностей руководителей всех уровней.
Важные активы внутри области действия СУИБ должны быть четко идентифицированы и должным образом оценены, а реестры, описывающие различные виды активов, должны быть взаимоувязаны и поддерживаться в актуальном состоянии. Для того чтобы быть уверенным в том, что ни один из активов не был пропущен или забыт, должна быть определена область действия СУИБ в терминах характеристик бизнеса, организации, ее расположения, ресурсов и технологий.
________________________________________
Идентификация активов:
формирование модели бизнес-процессов;
инвентаризация активов;
формирование реестров активов;
определение взаимосвязей между реестрами активов;
построение модели активов;
определение владельцев активов и их обязанностей;
делегирование обязанностей по обеспечению безопасности активов;
определение правил допустимого использования активов.
_________________________________________
Важно идентифицировать не только информационные активы, но другие активы, с которыми они связаны. Взаимосвязи между активами описываются моделью активов. Активы надо структурировать, категорировать и классифицировать по уровню конфиденциальности, критичности и другим признакам. Группирование похожих или связанных активов позволяет упростить процесс оценки рисков.
Нельзя обеспечить адекватный уровень информационной безопасности без установления подотчетности за активы. Для каждого из идентифицированных активов или группы активов должен быть определен владелец, на которого возлагается ответственность за осуществление контроля производства, разработки, сопровождения, использования и безопасности этих активов. Обязанности по внедрению механизмов безопасности могут быть делегированы, однако ответственность должна оставаться за назначенным владельцем актива.
Владелец актива должен нести ответственность за определение соответствующей классификации и прав доступа к этому активу, согласование и документирование этих решений, а также поддержание соответствующих механизмов контроля. В обязанности владельца актива также входит периодический пересмотр прав доступа и классификаций безопасности. Кроме того, следует определить, документировать и внедрить правила допустимого использования активов, описывающие разрешенные и запрещенные действия при повседневном использовании активов. Лица, использующие активы, должны быть осведомлены об этих правилах.
В этой статье мы попытались описать проблему защиты информационных активов от атаки изнутри сети и дать рекомендации по предотвращению кражи интеллектуальной собственности предприятия. Испытуемая нами утилита дала возможность осуществить на практике теоретические высказывания о безопасности информации внутри фирмы.
Введение
Одна из самых важных причин создания политики безопасности компьютеров – это уверенность в том, что затраченные средства на безопасность помогут компании защитить более ценную информацию.
В наше время бизнес компаний напрямую связан с информационными технологиями, для многих именно информация является главным средством получения денег. Излишне говорить, что, как и любые материальные активы, информационные активы нуждаются в безопасности. Высокий профессионализм атакующего и отсутствие оного у пользователей говорит не в пользу уровня защиты информации, и делает вашу фирму, а так же весь ваш бизнес, уязвимым. Но, к сожалении, это лишь часть проблемы, которую предстоит решать отделу безопасности и системному администратору. Согласно исследованиям Ernst & Young за 2003 год самый большой урон компаниям принесли вредоносные программы и нарушения со стороны сотрудников. Никогда не можно быть уверенным на все сто, что сотрудник, работающий с ценной информацией не похитит или уничтожит ее. Согласно RFC 2196 для информационных активов существуют следующие угрозы:
Очень часто доступ к данным намного легче получить изнутри, чем снаружи сети. Многие администраторы защищают свою сеть от атак неизвестных взломщиков с помощью различных систем обнаружения вторжения, межсетевых экранов, забывая о том, что пользователи их сети могут принести намного больший урон информационным активам.
2. Ненамеренное и/или неправомерное раскрытие информации
Здесь речь идет о пользователях, способных случайно или специально раскрыть атакующему важную информацию о политике безопасности или даже передать конфиденциальные данные в руки взломщиков.
3. Отказ в обслуживании
Приведение актива в нерабочее состояние вследствие неумышленных или специальных действий пользователей (удаление, повреждение файла или нескольких файлов общей БД)
Давайте рассмотрим варианты защиты от этих угроз подробнее.
- Решается на уровне ACL. Разрабатывается политика безопасности относительно информационных ресурсов к которым пользователи имеют доступ, а также определяется уровень доступа к информационному ресурсу.
- Комплексные действия по отношению к охраняемой информации. Этот пункт рассматривается позже.
- Резервирование данных. Этот процесс ресурсоемок, но стоит этого!
В данной статье мы будем рассматривать вторую угрозу, так как именно от этой угрозы сложнее всего защитить информационные активы.
Для сохранности информационных активов используются комплексные меры защиты:
- контроль над передаваемыми по сети данными
Аппаратный (снифферы, маршрутизаторы, свитчи)
Программный (снифферы, контентные фильтры, системы обнаружения вторжения)
- контроль за использованием информационных активов
Аппаратный (системы видео наблюдения, прослушивания и т.д.)
Программный (кейлогеры, системы мониторинга и т.д.)
- контроль съемных носителей, принтеров, копиров
Аппаратный
Программный
Понимание инцидента.
- Попытка повышения привилегий на системе с целью завладеть тем или иным информационным активом
- Попытка несанкционированного доступа к информационным активам
- Попытка порчи или кражи информационных активов
- .Раскрытие важной информации
Для системного администратора и сотрудника отдела безопасности понимание инцидента и наличие политики защиты от него являются самыми главными средствами в борьбе за информационные ресурсы предприятия.
Пользователи, которые работают с важной информацией, являются объектами наблюдения для службы безопасности. Контроль за почтовыми сообщениями пользователей, за использованием Интернета, попыткам доступа к ресурсам можно осуществить с помощью различных снифферов, систем обнаружений вторжения, всевозможных лог файлов и т.д. Но как выявить нарушителя, который пытается украсть информационные активы путем их записи на съемные носители? Аудит файлов и папок не позволяет обнаружить простую операцию копирования содержимого секретного файла в новый.
Защита от кражи информации. DeviceLock.
В этой статье рассматривается решение по защите информационных активов средствами утилиты DeviceLock.
Утилита DeviceLock от SmartLine позволяет контролировать доступ к различным устройствам в системе: дисководам, магнитно-оптическим дискам, CD-ROM, ZIP, USB, FireWire, serial и parallel портам, WiFi и Bluetooth адаптерам и т.д.
Характеристики ПО:
Версия: 5.52
Платформы: Windows NT 4.0/2000/XP/2003
Удаленное управление: Да
Удаленная установка: Да
Взаимодействие с Active Directory: Да
Обычно компьютеры покупаются со стандартной комплектацией аппаратного обеспечения, в которой присутствуют порты USB, дисковод CD-ROM или CD-RW, порты serial и parallel и т.д., что позволяет пользователю без проблем воспользоваться одним из этих устройств для копирования информации. Бороться с этим можно как аппаратными так и программными средствами, именно последним и отдают предпочтение, так как часто требуется создание политики доступа к подобным ресурсам для каждого отдельного пользователя.
1. Установка
Утилита поддерживает три вида установки: обычная установка с графическим интерфейсом, установка с помощью Microsoft Systems Management Server (SMS), установка из командной строки.
Для установки с помощью Microsoft Systems Management Server следует использовать файлы, которые находятся в архиве sms.zip дистрибутива.
Установка с использование командной строки:
Для этого типа установки важно, чтобы конфигурационный файл devicelock.ini находился в том же каталоге, что и файл setup.exe
Синтаксис файла devicelock.ini:
| Ключ | Параметр | Описание |
| Floppy | 1 или 0 | Запрещает доступ ко всем дисководам. |
| Removable | 1 или 0 | Запрещает доступ ко всем съемным носителям. |
| CDROM | 1 или 0 | Запрещает доступ ко всем устройствам CD-ROM |
| Serial | 1 или 0 | Запрещает доступ ко всем портам serial |
| Parallel | 1 или 0 | Запрещает доступ ко всем портам parallel |
| Tape | 1 или 0 | Запрещает доступ ко всем устройствам записи на магнитную пленку |
| USB | 1 или 0 | Запрещает доступ ко всем устройствам USB |
| IRDA | 1 или 0 | Запрещает доступ ко всем устройствам IRDA. |
| FireWire | 1 или 0 | Запрещает доступ ко всем портам IEEE 1394 |
| Bluetooth | 1 или 0 | Запрещает доступ ко всем адаптерам Bluetooth |
| WiFi | 1 или 0 | Запрещает доступ ко всем адаптерам WiFi |
| CreateGroups | 1 или 0 | Создает локальные группы для каждого типа устройств |
| AccessTo... | {Имя пользователя или группы с правами полного доступа к устройству} | Разрешает доступ отдельных пользователей для каждого типа устройств |
| CtrlUSBHID | 1 или 0 | Контролирует USB порты для клавиатуры, мыши… |
| CtrlUSBPrint | 1 или 0 | Контролирует USB порты для принтеров, сканеров |
| CtrlUSBBth | 1 или 0 | Контролирует адаптеры USB Bluetooth |
| CtrlFWNet | 1 или 0 | Контролирует сетевые адаптеры USB и FireWire |
| Service | 1 или 0 | Устанавливает службу DeviceLock |
| Manager | 1 или 0 | Устанавливает менеджер для DeviceLock |
| Documents | 1 или 0 | Устанавливает документацию к программе |
| InstallDir | {путь к каталогу} | Определяет путь к установочному каталогу |
| RegFileDir | {путь к файлу} | Определяет путь к лицензионному ключу |
| Run | {путь к файлу} | Запускает приложение в случае успешной установки |
Пример файла конфигураций devicelock.ini:
;Конфигурация для установки DeviceLock на пользовательские компьютеры:
AccessToFloppy= Domain\privileged
AccessToRemovable= Domain\privileged
AccessToCDROM= Domain\privileged
AccessToUSB=Domain\privileged
InstallDir=C:\Program files\devicelock\
RegFileDir=C:\RegistrationKey\xxxxxx
Для установки программы в этом режиме следует запустить файл setup.exe с ключом /s (silent)
D:\Distributives\DeviceLock\setup.exe /s
К сожалению в процессе установки утилита позволяет создать лишь локальные группы пользователей. Если у вас доменная сеть, значительно удобней создать группы для всего домена. Для этого воспользуйтесь оснасткой Active Directory Users and Computers: dsa.msc или утилитой net group.
2. Использование. Возможности программы.
Для нормального функционирования программы на машинах в вашей сети должны быть открыты следующие порты:
- Порт135 (TCP) – для службы RPC
- Порт 137 (UDP) – для службы NetBIOS Name Service
- Порт 138 (UDP) - для службы NetBIOS Netlogon and Browsing
- Порт 139 (TCP) - для службы NetBIOS session (NET USE)
- Порты после 1024 (TCP) - для службы RPC
С помощью менеджера DeviceLock утилита устанавливается на нужные машины в сети двойным щелчком мыши на объекте. Управление проводится централизованно с машины, на которой установлен менеджер
Определение политик доступа для определенного устройства осуществляется с помощью диалогового окна Permissions, которое вызывается двойным нажатием левой кнопки мыши на устройстве или через меню File->Set Permissions.
Утилита позволяет управлять доступом как для групп, так и для отдельных пользователей. Возможные виды доступа к устройству:
Также возможно управлять доступом пользователей к устройствам по времени.
Разрешения Allow Eject действительны лишь для программного изъятия носителя из устройства, по этому особой нужды в таком правиле по нашему мнению нет, так как пользователь всегда сможет нажать на кнопку привода и изъять или вставить носитель.
Обратите внимание, что политика доступа назначается для всей группы устройств, а не для отдельного устройства. Т.е. если на машине присутствуют 2 устройства CD-ROM, то невозможно для одного пользователя создать разные разрешения для каждого устройства.
Программа позволяет одновременно создавать политики для определенного типа устройств на всех компьютерах в сети. Для этого используется диалоговое окно Batch Permissions (File->Batch Permissions).
Преимущества программы:
1. Позволяет создавать правила доступа к устройствам, что делает ее незаменимой в среде, где требуется жесткий контроль над информационными активами
2. Проста в обращении
3. Не требует больших ресурсов для работы
Недостатки:
1. Немного неудобный интерфейс
2. Было бы неплохо выставлять разрешения для каждого устройства, а не для группы устройств. Например, виртуальный CD-ROM и физический распознаются как одна группа устройств, что не позволяет запретить некоторым пользователям доступ на чтение с физического устройства.
Заключение
В этой статье мы попытались описать проблему защиты информационных активов от атаки изнутри сети и дать рекомендации по предотвращению кражи интеллектуальной собственности предприятия. Испытуемая нами утилита дала возможность осуществить на практике теоретические высказывания о безопасности информации внутри фирмы.
А если есть риски - ими надо управлять. Такой подход заложен в основу современных международных и отечественных стандартов в области обеспечения ИБ.
Начать сначала
Начать, пожалуй, следует с выбора методики, по которой будет проводиться оценка рисков. На сегодняшний день недостатка в таких методиках оценки рисков нарушения информационной безопасности нет. Это, к примеру, OCTAVE, CRAMM, RA2, отраслевая методика Банка России РС БР ИББС 2.2 – вот лишь немногие из них. Методики можно разделить на качественные и количественные, в зависимости от шкал, применяемых для оценки вероятности реализации угрозы и тяжести последствий от её реализации. Кроме того, отличия методик заложены в подходах (базовый уровень или детальная оценка рисков) и процедурах оценки рисков. Для некоторых методик разработаны инструментальные средства, содержащие базу знаний по рискам и механизмы их минимизации.
Независимо от выбранной методики, процесс управления рисками ИБ будет включать в себя выполнение следующих задач:
- определение области оценки рисков;
- оценка рисков;
- обработка рисков;
- мониторинг и контроль;
- совершенствование процесса.
Также перед началом работ по оценке рисков необходимо создать организационную структуру по управлению рисками, и разработать Политику управления рисками ИБ. В ней должны быть отражены такие вопросы, как цели и процессы управления рисками (в соответствии с выбранной методологией), критерии управления рисками (включая критерии оценки ущерба, оценки рисков и принятия рисков), функциональные роли по оценке рисков.
Составляющие
В область оценки рисков могут входить бизнес-процессы, элементы инфраструктуры, информационные активы, сервисы, персонал и т.д. На практике для организаций, которые впервые проводят оценку рисков, целесообразно ограничить область оценки, например, одним из вспомогательных бизнес-процессов или даже конкретным информационным активом. Иначе говоря, выполнить пилотный проект. Такое ограничение позволит «обкатать» и, при необходимости, доработать применяемую методику, довести до ума шаблоны документов, а также практически безболезненно наступить на все остальные грабли, разбросанные на пути внедрения системы управления рисками ИБ.
Впоследствии область оценки рисков должна охватить всю организацию в целом (по крайней мере, ту её часть, на которую распространяется действие системы управления информационной безопасностью - СУИБ).
Идентификация активов
На этапе оценки рисков мы должны идентифицировать информационные активы, входящие в область оценки; определить ценность этих активов; определить перечень угроз и вероятность их реализации; произвести оценивание и ранжирование рисков.
Начнем с идентификации информационных активов. Информационный актив – это любая информация, независимо от вида её представления, имеющая ценность для организации и находящаяся в её распоряжении. У каждой организации свой набор активов, относящихся к тому или иному типу, например:
- персональные данные;
- стратегическая информация, необходимая для достижения бизнес-целей;
- ноухау;
- коммерческая тайна;
- служебная тайна и т.д.
Для каждого актива необходимо определить владельца, который несет за него ответственность.
Стоит заметить, что на данном этапе большим подспорьем может служить документированное описание бизнес-процессов организации. Это позволит нам быстро идентифицировать информационные активы, вовлеченные в конкретный бизнес-процесс, а также определить задействованный в нем персонал. Если же бизнес-процессы в организации не документированы, то самое время начать это делать. Помимо практической пользы при внедрении системы управления рисками ИБ и СУИБ, перенос бизнес-процессов «на бумагу» часто помогает увидеть возможности по их оптимизации.
Определение ценности активов, а точнее, оценка степени тяжести последствий (СТП) от утраты активом свойств информационной безопасности - конфиденциальности, целостности или доступности - необходима нам для того, чтобы ответить на следующие вопросы: Сколько нам будет стоить «простой» системы в течение времени, требующегося на её восстановление? Каков будет ущерб, если эта информация станет известной конкурентам?
Цена и ценности
В рамках пилотного проекта по созданию системы управления рисками ИБ наиболее целесообразной является качественная оценка ценности информационного актива со стороны владельца. При этом, в зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие слова, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки. Например, «незначительный» - менее 10 тыс. рублей, «низкий» - от 10 до 100 тыс. рублей и т.д.
Впрочем, существуют специальные методики, используемые оценочными компаниями для количественной оценки стоимости нематериальных активов на основе рыночного, доходного или затратного подходов. Однако их применение часто требует привлечения профессиональных оценщиков, так как в подавляющем большинстве случаев специалисты подразделений ИБ не обладают подобными знаниями.
Опять же, в рамках пилотного проекта имеет смысл анализировать только высокоуровневые риски, постепенно повышая детализацию и глубину анализа в последующих оценках. Этим принципом мы будем руководствоваться при составлении перечня угроз, если в организации нет утвержденной Модели угроз, которую можно взять за основу. Угрозы могут иметь природное или техногенное происхождение, могут быть случайными или преднамеренными. Типовые перечни угроз приведены в приложениях к стандартам ISO 27005, BS 7799-3 и РС БР ИББС 2.2. Для определения степени вероятности реализации (СВР) той или иной угрозы на данном этапе можно воспользоваться качественной экспертной оценкой.
Переход на количественные шкалы, безусловно, позволяет сделать результаты оценки рисков более точными, однако предполагает наличие некоего уровня зрелости существующих процессов управления ИБ и оценки рисков и не всегда оправдан. Тем не менее, если в организации существует функционирующая система менеджмента инцидентов, фиксируются данные о частоте реализации той или иной угрозы, то грех не воспользоваться подобной информацией.
Оценивание риска, в общем случае, происходит путем сопоставления оценок СТП с оценкой СВР угроз ИБ (иногда к ним добавляется оценка уязвимостей).
Для оценивания рисков нарушения ИБ, в зависимости от потребностей организации и критериев, определенных в Политике, может быть использована простая качественная шкала («допустимый», «недопустимый»), более продвинутая качественная шкала (например, «критический», «высокий», «средний», «приемлемый») или даже количественная шкала, выраженная в процентах или деньгах (таблица 1).
Таблица 1.
Степень вероятности реализации угрозы ИБ (СВР) | Степень тяжести последствий нарушения ИБ (СТП) |
|||
минимальная | критическая |
|||
нереализуемая | допустимый | допустимый | допустимый | допустимый |
минимальная | допустимый | допустимый | допустимый | недопустимый |
допустимый | допустимый | недопустимый | недопустимый |
|
допустимый | недопустимый | недопустимый | недопустимый |
|
критическая | недопустимый | недопустимый | недопустимый | недопустимый |
Обработка рисков
По результатам оценки рисков необходимо определить способ обработки для каждого из рисков, который является недопустимым. Возможными вариантами обработки рисков являются:
- применение защитных мер, позволяющих снизить величину риска до допустимого уровня;
- уход от риска (например, путем отказа от деятельности, выполнение которой приводит к появлению риска);
- перенос риска на другие организации (например, путем страхования или передачи деятельности на аутсорсинг);
- осознанное принятие риска.
Следует помнить, что любой деятельности свойственны риски, и понизить их можно лишь до определенного остаточного уровня, а не до нуля.
Решение о применении того или иного способа обработки рисков должно приниматься исходя из стоимости их реализации, а также ожидаемых выгод от их реализации. Ведь наша цель, во-первых, добиться значительного уменьшения рисков при относительно низких затратах и, во-вторых, поддерживать принятые риски на допустимом, низком уровне.
Руководствоваться при выборе защиты лучше принципом разумной достаточности. Меры безопасности не могут быть более затратными, чем потенциальный ущерб от нарушения ИБ.
Мониторинг и контроль
После принятия решений об обработке рисков необходимо осуществлять постоянный мониторинг и контроль СУИБ. Это позволит нам оценить эффективность защитных мер, которые мы использовали для понижения величины риска.
На данном этапе также осуществляется контроль изменения перечня активов, угроз и других факторов, влияющих на результаты оценки, проводятся аудиты и иные контрольные процедуры.
Совершенствование процессов управления рисками ИБ осуществляется по результатам, полученным в процессе мониторинга и контроля. При необходимости пересматривается Политика управления рисками ИБ, область оценки, состав угроз ИБ, оценки СВР и СТП, совершенствуется методология и т.д.
Крайне желательно интегрировать процессы управления рисками в общий процесс управления информационной безопасностью. Это позволить привязать циклы деятельности по оценке рисков к общепринятому циклу выполнения деятельности по обеспечению ИБ, основанному на модели Деминга «… — планирование - реализация - проверка - совершенствование- планирование - …”, которая является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO 27001-2005.
Цикл Деминга по обеспечению ИБ
В этом случае процесс СУИБ будет соотноситься с процессом управления рисками следующим образом:
- Планирование – определение области действия; оценка рисков; разработка планов обработки рисков; принятие рисков.
- Реализация – реализация планов обработки рисков; внедрение защитных мер.
- Проверка – постоянный мониторинг и пересмотр рисков; контроль эффективности защитных мер.
- Совершенствование – поддержание и совершенствование процесса управления рисками ИБ.
Нетривиальная задача
Внедрение системы управления рисками ИБ может быть нетривиальной задачей для многих организаций, только начинающих работу над созданием системы управления информационной безопасностью. Однако оно является отправной точкой для построения эффективной системы защиты, которая будет отвечать бизнес-целям организации. В этом случае для проведения пилотного проекта может быть оправданным приглашение внешних консультантов, которые попутно разработают необходимую организационно-распорядительную документацию, адаптируют методологию и проведут обучение сотрудников организации.
Управление информационными рисками и построение комплексной системы управления информационной безопасностью – это для каждой организации шаг на качественно иной уровень корпоративного управления, а в некоторых случаях – решающее конкурентное преимущество.
Управляйте своими рисками сами, если не хотите, чтобы за вас это сделали ваши конкуренты.
Черненко А.Н., эксперт по информационной безопасности департамента аудиторских и консультационных услуг финансовым институтам ФБК
Рассмотрим кратко современные проблемы идентификации активов и внешней оценки (сертификации) систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями ГОСТ Р ИСО/МЭК 270011 и СТО Газпром серии 4.22. При реализации только требований СТО Газпром серии 4.2 возможны упущения в процессе анализа рисков информационной безопасности (ИБ), фрагментарное выявление и оценка части активов — только объектов защиты (ОЗ), а впоследствии — при выборе адекватного перечня мер (средств) обеспечения ИБ
УДК 004.94
Методика определения активов при внедрении и сертификации СМИБ в соответствии с требованиями ГОСТ Р ИСО/МЭК 27001-2006 и СТО Газпром серии 4.2
И.И. Лившиц, к.т.н., ведущий инженер ООО «Газинформсервис»
Ключевые слова
Информационная безопасность (ИБ); система менеджмента информационной безопасности (СМИБ); система обеспечения информационной безопасности (СОИБ); объект защиты (ОЗ); аудит; цикл PDCA; менеджмент рисков.
Keywords:
Information Security (IT-Security); Information Security Management System(ISMS); Information securityproviding system(ISPS); object of protection(ObP); audit;PDCA cycle;risk management.
Аннотация
В данной публикации кратко рассмотрены современные проблемы при идентификации активов и сертификации систем менеджмента информационной безопасности (СМИБ) в соответствии с требованиями стандартов ГОСТ Р ИСО/МЭК серии 27001 и отраслевых стандартов Системы обеспечения информационной безопасности СТО Газпром серии 4.2 (СОИБ). Предложен подход к формированию моделей и методов выявления, идентификации и классификацииугроз нарушения информационной безопасности (ИБ) для защищаемых активов различного вида. Основное внимание обращено на сложности при совмещении требований двух различных систем стандартизации (ГОСТ Р ИСО/МЭК и СОИБ), которые могут вызвать затруднения при идентификации и оценке активов СМИБ, а также в процессах планирования и успешного проведения сертификационного аудита.
This issue covers briefly the current problemsof asset identification andcertification ofthe information security management systems(ISMS) in accordancewith the requirements ofGOST R ISO/IEC27001seriesof standardsand industryinformation security providing systemSTO Gazpromseries4.2(ISPS). Proposed approach providingdevelopment ofmodels andmethods for detection, identification and classification ofthreats tobreachinformation security (IS) fordifferent typesassets.Focuses on thedifficulties inreconcilingthe requirementsof two different systemsfor Standardization (ISMS andISPS), which can cause difficultiesin the identificationand evaluationof assetsISMS, as well as in the planning andsuccessfulcertification audit.
Введение
Проблема внедрения результативной СМИБ в соответствии с требованиями стандартов ГОСТ Р серии 27001 является достаточно известной. Требования к проведению аудитов систем менеджмента (СМ) изложены в известном стандарте . В ряде источников (www.snti.ru/snips_sto51.htm, s3r.ru/2010/10/standarty/Gazprom, txcom.ru/gazpro) доступны стандарты СОИБ , которые в своей основе содержат и ряд требований указанных стандартов . Объективно существуют различия в требованиях СОИБ, которые могут препятствовать успешному внедрению СМИБ (например, различия в понятиях «актив » и «объект защиты ») и проведению успешной независимой оценки (сертификации) по требованиям базового «сертификационного» стандарта . В том случае, когда высший менеджмент организации принимает решение о подготовке существующей СМИБ к сертификационному аудиту, представляется необходимым проанализировать требования СОИБ и принять решение о комплексе мероприятий, которые следует предпринять для целей обеспечения соответствия требованиям . Для реализации управляемых условий данного процесса предлагается методика идентификации и оценки активов, прошедшая практическую апробацию.
Учет различий при выявлении и оценке активов (объектов защиты) СМИБ
Для ряда организаций вполне естественно принимать «как есть» отраслевые требования, а внедрение дополнительных стандартов требует отдельного решения высшего менеджмента. Это обстоятельство не является экстраординарным, т.к., во-первых, изложено в преамбуле почти всех международных стандартов (ISO) и их российских переводов ГОСТ Р, во-вторых, является функцией формирования добавочной стоимости и, в-третьих, подтверждается мировой статистикой сертификации ISO . Соответственно, в случае принятия такого решения - о внедрении конкретного национального или международного стандарта, организация вынуждена выполнять сопоставление (“mapping ”) своих процессов, реализованных изначально только лишь под требования конкретных отраслевых требований. При этом возможны упущения (неполнота) при выполнении анализа рисков нарушения ИБ и недостаточно полное изучение уязвимостей процессов переработки информации вАС.Ситуация может иметь более серьезные последствия, если конкретная отраслевая система (в частности, СОИБ), создавалась изначально на базе зарубежных стандартов (например, BS серии 7799), но по ряду причин не актуализировалась при изменении соответствующих стандартов или применимых законов (регламентов). В частности, стандарт СОИБ содержит ссылку на отмененный Федеральный закон N 1-ФЗ «Об электронной цифровой подписи» (см. http://base.garant.ru/), а стандарт СОИБ содержит ссылку на отмененный стандарт BS 7799:3-2006 (см. http://www.standards.ru/document/3858996.aspx) - на дату подготовки публикации.
В тоже время существуют методики , основанные на стандартах ISO , которые учитывают основные требования по управлению рисками ИБ, достаточно подробно описывая практическую реализацию требований как базового «сертифицирующего» стандарта , так и целевого стандарта по управлению рисками ИБ . Применение данной методики способствует получению численных оценок рисков ИБ и, в целом, возможно, успешной сертификации СМИБ на соответствие стандарту .
Для целей данной публикации будут рассмотрены два основных фундаментальных различия, которые, по мнению автора, могут иметь критичные последствия для целей создания и успешной сертификации СМИБ на соответствие требованиям стандарта . Эти несоответствия могут привести к «консервации» замысла создания СОИБ и потери важного преимущества любой успешно внедренной СМ - адекватное обеспечение выполнение целей бизнеса . Второе негативное последствие выявленных различий, имеющее измеримое значение - дополнительные издержки при приведении СМИБ к уровню, достаточному для адекватного выполнения требований стандарта . Отметим, что в практике создания СМИБ представляется важным сконцентрировать экспертные усилия на целях формирования достоверных моделей и методов обеспечения внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ.
Различие 1. Идентификация (классификация) активов
Для анализа первого различия рассмотрим требования стандарта в части управления активами и требования стандарта по классификации объектов защиты. Известно определение: «активы (asset): все, что имеет ценность для организации» (п. 3.1 ). Дополнительно рассмотрим Приложение «В» стандарта : «для установления ценности активов организация должна определить все свои активы на соответствующем уровне детализации ». При этом дается пояснение о том, что могут различаться два вида активов: «основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию и вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации и структуру организации ».
В фазе «План» цикла PDCA (п. 4.2.1 ) указано, что организация должна, например, «определить область и границы действия СМИБ с учетом характеристик бизнеса, организации, ее размещения, активов и технологий». В Приложении А() даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся управления активами, например: «Инвентаризация активов: «Опись всех важных активов организации должна быть составлена и актуализирована (A.7.1.1)».
В свою очередь, в требованиях СОИБ по классификации объектов защиты (ОЗ) приводятся иные термины и определения (Раздел 3), где ОЗ трактуется в терминах ;
- АС - автоматизированная система;
- ИА - информационный актив;
- ПО - программное обеспечение.
Согласно под термином ОЗ понимают информационные активы, технические и программные средства их обработки, передачи, хранения (п. 3.3.3 ). Этот перечень ОЗ является закрытым, объективно явно меньшим, чем дефиниция активов , представленная выше. Соответственно, одним из критичных рисков при сертификации может являться объективно явная неполнота идентифицированных и принятых к защите ОЗ в СОИБ, в частности, в никак не учтены активы по следующим категориям - персонал, место расположения (объекты) и структура организации. Необходимо обратить внимание, что предложенный подход в системе СОИБ Газпром вносит существенные сложности в текущий процесс поддержания и обеспечения ИБ, в частности, в области управления инцидентами ИБ и рисками ИБ. Например, и стандарт ГОСТ Р ИСО/МЭК 18044-2007 оперирует примерами инцидентов ИБ, связанных с персоналом, и новейший международный стандарт ISO серии 27040 по обеспечению безопасности хранящихся данных принимает во внимание важнейшую роль персонала (внутреннего, внешнего) в обеспечении требуемого уровня ИБ на объектах инфраструктуры.
В стандарте определены правила идентификации ОЗ идолжны быть определены собственник, владелец и пользователи конкретного ОЗ (п. 5.6. ), каждый из них должен быть отнесён только к одному из следующих типов (п. 5.8 ):
- информационные активы (ИА);
- программное обеспечение (ПО);
- технические средства обработки, хранения и передачи информации (ТС).
В стандарте перечислены правила определения критичности ОЗ и согласно им определяется критичность ОЗ (п. 6.7. ) и далее, на основании полученного уровня критичности, ОЗ относят к одной из групп (п. 7.1. ):
- ОЗ максимального уровня критичности;
- ОЗ среднего уровня критичности;
- ОЗ минимального уровня критичности.
В Разделе 8 стандарта приведены правила учёта ОЗ. Основными задачами учёта ОЗ являются сбор, обработка и систематизация данных об ОЗ. Отмечается, что должна выполняться обязательная регистрация фактов создания, приобретения, передачи, дублирования, снятия с эксплуатации и уничтожения ОЗ. Таким образом, можно сделать предварительный вывод по 1-му различию - для разработки и успешной сертификации СМИБ по требованиям , только выполнения требований, предъявляемыхСОИБ, объективно недостаточно, т.к. учитывается крайне ограниченное множество сущностей, объективно являющихся критичными активами для бизнеса.
Различие 2. Оценка рисков ИБ
Для анализа 2-го различия рассмотрим требования в части управления рисками ИБ и требования СОИБ по анализу и оценке рисков. Основные определения, необходимые для анализа 2-го различия, приведены в (п.п. 3.7 - 3.15). Основные требования по управления рисками ИБ удобно рассмотреть по фазам цикла PDCA, аналогично Различию 1: в фазе «План» (п. 4.2.1 ), фазе «Делай» (п. 4.2.2 ), в фазе «Проверяй» (п. 4.2.3 ), соответственно. В Приложении А () даны примеры реализации конкретных мер (средств) обеспечения ИБ (“controls ”) в части касающейся менеджмента рисков, например: «Проверка всех кандидатов на постоянную работу, подрядчиков и пользователей сторонней организации должна быть проведена в соответствии с законами, инструкциями и правилами этики, с учетом требований бизнеса, характера информации, к которой будет осуществлен их доступ, и предполагаемых рисков» (А. 8.1.2.).
В свою очередь, в требованиях СОИБ по анализу и оценке рисков выполняются следующие основные процедуры (п. 4.4):идентификация, анализ и оценивание риска.Оценка рисков осуществляется дляАС, в состав которых входит хотя бы один ОЗ с максимальным уровнем критичности, определяемым в соответствии с (п. 4.8 ). Таким образом, объективно существует критичный риск для целей успешной сертификации СМИБ, при котором деятельность по оценке рисков в терминах только СОИБ может вообще не проводиться. Соответственно, деятельность, предусмотренная СОИБ , не будет осуществляться на «законных» основаниях, что может привести к ошибкам в процессах выявления, идентификации и классификации угроз нарушения ИБдляОЗ, а также к недостоверному анализу рисков нарушения ИБ и уязвимостейв процессах переработки информации в АС вустановленной области применения (“scope”). Особенно важно, что может наблюдаться «вложенность» критичных рисков - невыполнение оценки рисков (Различие 2) может быть прямым следствием исключения персонала из активов в СОИБ (Различие 1) и такая «вложенность» может привести, объективно, к значительным несоответствиям на внешнем сертификационном аудите СМИБ.В рамках работ по идентификации рисков необходимо выполнить идентификацию элементов риска, а именно ОЗ, угроз ОЗ и уязвимостей ОЗ(п. 5.1 ).В рамках работ по анализу рисков определяют (п. 6.1. ):
- возможный ущерб, наносимый в результате нарушений свойств безопасности ОЗ;
- уровень вероятности наступления такого нарушения с учетом идентифицированных угроз и уязвимостей, а также реализованных защитных мер;
- величина риска.
Оценка возможного ущерба производится по 3-уровневой качественной шкале (6.2.2 ):
- максимальная величина;
- средняя величина;
- минимальная величина.
Обратим внимание, что, как правило,при решении конкретных прикладных задачи значения критериев измеряются в пределах определенной шкалы и выражаются в установленных единицах. Известно, что качественные шкалы используют, например, для измерения различных психофизических величин, силы землетрясения, а также степени разрушения материала или конструкции (3.3.1 ). Соответственно, применение качественной шкалыдля целей оценки возможного ущерба ИБ представляется не вполне оправданным и методически уязвимым с позиции обеспечения достижения измеримых (!) целей - создание СМИБ, обеспечение постоянного повышения результативности СМИБ и успешная сертификация СМИБ на соответствие требованиям .
В стандарте отмечается, что максимальная величина возможного ущерба характеризуется максимальным уровнем критичности ОЗ, средняя величина возможного ущерба - средним уровнем критичности ОЗ, минимальная величина возможного ущерба - минимальным уровнем критичности ОЗ. Объективно, существуют затруднения для определения уровня возможного ущерба для активов (в терминах стандартов ИСО), но не учтенных как ОЗ в системе СОИБ, например: персонал (собственный и посторонний), серверные помещения, помещения для проведения конфиденциальных переговоров и пр.
Следующим шагом оценки рисков является сравнение полученных величин риска с заранее определенной шкалой уровня риска - этап оценивания риска (п. 7.1 ). Должны быть идентифицированы уровни риска, которые являются приемлемыми (п. 7.4 ) и риски, не превышающие приемлемого уровня, должны быть приняты. Также должны приниматься риски, превышающие допустимый уровень, если для данных рисков отсутствует подходящий способ обработки. Все остальные риски должны обрабатываться (п. 7.5 ).Это положение создает существенное затруднение для подготовки СМИБ к сертификации, т.к. известное требование - выполнение анализа СМИБ со стороны руководства (стандарт , раздел 7) предусматривает явно принятие во внимание в качестве входной информации о: «уязвимостях или угрозах, которые не были адекватно рассмотрены в процессе предыдущей оценки риска » (п. 7.2. е) и в системе СОИБ Газпром не выполняется в силу применяемой парадигмы формирования ОЗ.
Методика идентификации активов
Как уже отмечалось выше, существует ряд различий между системами СМИБ и СОИБ, одним из важнейших и принципиальных является различие в терминах «актив» () и «объект защиты» ().Соответственно, необходимо предложить методический подход, который позволит мягко преобразовать существующую СОИБ к требованиям СМИБ и обеспечить результативное проведение различных аудитов, так и мониторинга состояния объектов, находящихся под воздействием угроз нарушения ИБ. Прежде всего, как было указано выше, необходимо преобразовать базовую систему ОЗ к требованиям идентификации всех групп активов СМИБ на соответствиестандарта . Например, может быть предложена следующая классификация групп активов СМИБ (см. Табл. 1).
Таблица 1. Классификация групп активов СМИБ
Пример реестра группы активов «АС» приведен в табл. 2.
Таблица 2. Реестр группы активов «АС»
Примечания:
* Владелец - определенная служба в области сертификации СМИБ, которая отвечает за указанный актив в части поддержания функциональности;
** Уровень критичности - на основании «Перечня ОЗ» в соответствии с требованиями СОИБ.
Пример оценки рисков ИБ для примера актива АС «Босс-Кадровик»приведен в табл. 3.
Таблица 3. Оценка рисков ИБ для актива АС
|
№ риска |
Наименование риска |
Критичность актива |
Уровень уязвимости |
Уровень вероятности реализации угрозы |
Величина риска |
Уровень риска |
|
Нарушение конфиденциальности информации вАС «Босс-Кадровик» | ||||||
|
Нарушение целостности информации вАС «Босс-Кадровик» |
Максимальный |
Минимальный | ||||
|
Нарушение доступности информации вАС «Босс-Кадровик» |
Минимальный |
Оценка результативности ИСМ с учетом требований СМИБ
Учет активов в соответствии с требованиями стандарта ISO позволит привнести в ИСМ элемент управляемости по единым целям, измеримым в терминах бизнеса . Для ИСМ, в составе которой есть СМИБ, могут быть применены соответствующие метрики. Широко известны примеры формирования простых метрик ИБ, которые могут обеспечить формирование количественных оценок (метрик)как доказательства «полезности» для бизнеса. Здесь представляется особенно важным сразу сделать сопоставление с механизмами внутреннего аудита, которые именно предназначены для представления «объективных доказательств» для высшего руководства с целью принятия эффективных управленческих решений . Различные виды метрик для целей обеспечения ИБ представляется целесообразным сгруппировать следующим образом:
- Для оценки основного бизнеса, например: доля на рынке, уровень лояльности клиентов;
- Для управления издержками, например: ТСО (совокупная стоимость владения), ROI (оценка возврата инвестиций);
- Для оптимизации текущей деятельности, например: оптимизация затрат (прямых и косвенных).
С целью снижения издержек (это одна из приоритетных задач любого бизнеса и наиболее «презентабельная» форма оценки результативности службы ИБ), могут быть применены метрики, показывающие степень достижения возможного максимума (плана продаж, выполнения в срок проектов и пр.) . Соответственно, могут быть предложены различные типы метрик:
- простые метрики (например, количество выявленных инцидентов ИБ);
- сложные метрики (например, отношение стоимости СЗИ к стоимости ИТ активов);
- комплексные метрики (например, число произошедших инцидентов ИБ, приведших к ущербу (вынужденному простою) вАС, определенных как критичные для бизнеса).
Выводы
1. При планировании и реализации проектов по сертификации СМИБ необходимо принять во внимание, что множество требований произвольной системы отраслевой сертификации, в общем случае, не соответствует требованиям сертификационного стандарта ISO серии 27001. Для адаптации СОИБ необходима продуктивная методика, основанная на сопоставлении (“mapping ”) стандартных требований в области ИБ и обеспечивающая достижение целей по обеспечению внутреннего аудита и эффективного «мониторинга» состояния объектов, находящихся под воздействием угроз ИБ - на основании сформированных достоверных моделей и методов.
2. Реализация требований современных стандартов к СМИБ, «наложенных» на существующую СОИБ, приводит к необходимости пересматривать фундаментальные требования (например, понятий «актив » и «менеджмент риско в»).Это обстоятельство напрямую связано с определяемой высшим руководством областью сертификации («scope ») и, соответственно, с перечнем активов, признанных жизненно важным для бизнеса организации, и по этой причине подлежащих защите в составе СМИБ.
Библиография
ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. С истемы менеджмента информационной безопасности. Требования»
ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»
ГОСТ Р ИСО 19011-2011 «Руководящие указания по проведению аудитов систем менеджмента».
СТО Газпром 4.2-1-001-2009 Система обеспечения информационной безопасности ОАО «Газпром». Основные термины и определения
СТО Газпром 4.2-2-002-2009 Система обеспечения информационной безопасности ОАО «Газпром». Требования к АСУ ТП
СТО Газпром 4.2-3-002-2009 Требования по технической защите информации при использовании информационных технологий
СТО Газпром 4.2-3-003-2009 Система обеспечения информационной безопасности ОАО «Газпром». Анализ и оценка рисков
СТО Газпром 4.2-3-004-2009 Классификация объектов защиты
СТО Газпром 4.2-3-005-2013 Управление инцидентами информационной безопасности
Лившиц И.И. Оценки соотношения количественных показателей сертификации систем менеджмента предприятий // Менеджмент качества, 2014, вып. 2;
Лившиц И. И. Совместное решение задач аудита информационной безопасности и обеспечения доступности информационных систем на основании требований международных стандартов BSI и ISO // Информатизация и Связь, 2013, вып. 6;
Лившиц И.И. Практические применимые методы оценки систем менеджмента информационной безопасности // Менеджмент качества, 2013, вып. 1;
Лившиц И.И. Подходы к применению модели интегрированной системы менеджмента для проведения аудитов сложных промышленных объектов - аэропортовых комплексов // Труды СПИИРАН, 2014, вып. 6
В.Д. Ногин Принятие решений при многих критериях // Государственный Университет - Высшая школа экономики, Санкт-Петербург, 2007, 103 стр.
М.К. Янчин. Управление информационными рисками на основе методологии MEHARI, Источник публикации: http://pvti.ru/data/file/bit/bit_4_2011_29.pdf (на дату 19.01.2015)
ISO/IEC 27040:2015 Information technology — Security techniques — Storage security.
ISO/IEC 27001:2013 Information technology - Security techniques - Information security management systems - Requirements.
ISO/IEC 27000:2014 Information technology — Security techniques — Information security management systems — Overview and vocabulary.
ISO/IEC 27004:2014 Information technology — Security techniques — Information security management — Measurement.
