ГлавнаяО насНовостиСтатьиРешенияКонтакты
Украинский интегратор защиты персональных данных

Процессы информационной безопасности

Процессы информационной безопасности

Для достижения удобства управления процессом "обеспечение информационной безопасности", его следует разложить на составляющие процессы.

Информационная безопасность сложна? Разложим на простые составляющие

В самом деле, мы сталкиваемся с достаточно непростой задачей – управлением сложным многогранным процессом оценки и снижения информационных рисков, затрагивающим все сферы деятельности компании. Практика показывает, что декомпозиция сложной задачи на простые составляющие подчас является единственно возможным методом её решения.

Для начала давайте рассмотрим систему обеспечения информационной безопасности, существующую практически в каждой компании, в формальном или неформальном виде – не суть важно. Мы увидим, что даже на самом низком уровне зрелости подхода компании к решению вопросов защиты информации, в ней присутствует управляющая составляющая (например, принятие ИТ-директором управленческого решения об установке антивирусной системы) и исполнительная составляющая (установка системным администратором антивируса на компьютеры и его реагирование его срабатывание). Первое – это зачаток управления рисками (неформальное осознание высокого уровня критичности опасности вирусной активности в сети и необходимости минимизации вероятности возникновения этого явления). Второе – это неформальный процесс функционирования внедренного средства снижения риска.

Структура системы обеспечения информационной безопасности

Нам стало очевидно то, что система обеспечения информационной безопасности (СОИБ) состоит из двух частей – управляющей системы, принимающей решения о том какие риски как обрабатывать, то есть системы менеджмента информационной безопасности (СМИБ), и объекта управления – непосредственно процессов обработки рисков, составляющих систему информационной безопасности (СИБ).

Если мы взглянем на методологию, предлагаемую стандартом информационной безопасности Центрального Банка Российской Федерации (СТО БР ИББС-1.0-2008), то мы увидим в ней описание структуры системы обеспечения информационной безопасности организации, состоящей из двух компонентов - системы менеджмента информационной безопасности и системы информационной безопасности.

В соответствии с описанной структурой, мы рассмотрим два вида процессов – процессы системы менеджмента информационной безопасности и процессы системы информационной безопасности.

Процессы системы менеджмента информационной безопасности

Как известно, в основе СМИБ лежит модель непрерывного улучшения качества, также известная как цикл Деминга или цикл PDCA. Отсюда становятся очевидны четыре процесса СМИБ:

Процесс планирования, целью которого является выявление, анализ и проектирование способов обработки рисков информационной безопасности. При создании этого процесса следует разработать методику категорирования информационных активов и формальной оценки рисков на основе данных об актуальных для рассматриваемой информационной инфраструктуры угрозах и уязвимостях. Применительно к области аудита PCI DSS можно выделить два типа ценных информационных активов, обладающих разным уровнем критичности – данные о держателях карт и критичные аутентификационные данные.

Процесс внедрения спланированных методов обработки рисков, описывающий процедуру запуска нового процесса обеспечения информационной безопасности, либо модернизации существующего. Особое внимание следует уделить описанию ролей и обязанностей, а также планированию внедрения.

Процесс мониторинга функционирующих процессов СОИБ (стоит отметить, что мониторингу эффективности подлежат как процессы СИБ, так и самой СМИБ – ведь четыре процесса менеджмента - не гранитные изваяния, и к ним применима самоактуализация).

Процесс совершенствования процессов СОИБ в соответствии с результатами мониторинга, который делает возможным реализацию корректирующих и превентивных действий.

На практике эти процессы описываются политикой менеджмента информационной безопасности, которая является либо частью политики информационной безопасности, либо самостоятельным документом, представленным на верхнем уровне трехуровневой структуры базы нормативных документов.

Для небольших компаний, а также отдельных подразделений будет достаточно разработать методику формального анализа информационных рисков и предусмотреть процедуру пересмотра процессов по результатам регулярного аудита. Задача вполне посильная, а в качестве дополнительного преимущества описанный подход открывает дорогу к сертификации по стандарту ISO 27001 в будущем.

Процессы системы информационной безопасности

Теперь от стратегии перейдем непосредственно к тактике информационной безопасности и оперативным мероприятиям по защите данных. Система информационной безопасности – это то, что каждый день, каждый час и каждую минуту непосредственно обеспечивает защиту конфиденциальности, целостности и доступности информационных активов. Она состоит из множества различных процессов, каждый из которых направлен на обработку определенных рисков. Такими процессами являются, например, управление доступом, управление изменениями, управление инцидентами, и другие.

Стоит особо отметить то, что отдельно взятый процесс может быть неформальным, то есть не регламентированным никаким документом, однако в той или иной степени он будет снижать риск. Другое дело, что такой процесс практически неуправляем, невозможно оценить его полноту и эффективность.

Процесс управляется на двух уровнях. На тактическом уровне к процессу предъявляются требования, которые находят своё документальное отражение в частных политиках второго уровня, иногда называемых регламентами того или иного процесса. По сути, регламент второго уровня является сборником всех требований к процессу – требований законодательства, требований международных и национальных стандартов, требований регуляторов, требований бизнеса, требований информационной безопасности на основе анализа рисков, договорных требований контрагентов и технологических ограничений.

Документ второго (тактического) уровня устанавливает рамки, из которых процесс не должен выходить, но он ни в коем случае не должен содержать в себе описание реализации процесса и составляющих его процедур. Реализация процесса может меняться от системы к системе, от подразделения к подразделению, адаптируясь под те или иные технологии и бизнес-процессы. Ход процесса описывают документированные процедуры нижнего уровня базы нормативных документов (например – процедура предоставления пользователю прав доступа к данным, определяющая форму и маршрут согласования заявки на доступ). Главное условие – процедура должна строго оставаться в рамках, определенных для неё регламентом процесса.

Количество процессов зависит от вида организации и масштаба её информационной инфраструктуры, в среднем это 12-16 самостоятельных процессов системы информационной безопасности, хотя в отдельных случаях их количество может достигать 22 и более. Хорошими пособиями по внедрению процессов информационной безопасности являются сам стандарт PCI DSS, стандарт ISO 27002, библиотека ITIL.

Для малых и средних организаций, либо отдельных подразделений, для которых стоит вопрос соответствия стандарту PCI DSS, следующий перечень процессов (а в широком смысле этого слова – ветвей управления, состоящих из регламентов и документированных процедур, предусматривающих ведение записей) будет достаточным:

    Распределение обязанностей и ответственности.

    Повышение осведомленности сотрудников в вопросах информационной безопасности.

    Обеспечение непрерывности бизнес-процессов.

    Мониторинг информационной инфраструктуры.

    Безопасное хранение данных.

    Управление доступом к данным.

    Управление информационной инфраструктурой.

    Управление изменениями.

    Управление инцидентами и уязвимостями.

    Защита от вредоносного кода.

    Взаимодействие с третьими сторонами.

    Безопасная разработка программного обеспечения.

    Управление аутентификацией и парольная защита.

    Обеспечение физической безопасности.

    Криптографическая защита и управление ключами.

Разложив, таким образом, процесс обеспечения информационной безопасности на более простые составляющие, мы достигаем необходимого нам уровня управляемости. Своевременно реагируя на изменение картины информационных рисков, мы изменяем соответствующие процессы системы обеспечение информационной безопасности и тем самым поддерживаем её актуальность.

Процедуры можно менять достаточно часто, как того требует изменяющаяся информационная инфраструктура и новые требования регламентов. Они в свою очередь должны обновляться в соответствии с изменением внешних и внутренних требований к процессам.

Наличие документированной самоактуализирующейся системы обеспечения информационной безопасности свидетельствует о высокой степени зрелости компании в отношении вопросов информационной безопасности. При этом не стоит думать, что такие системы – удел крупного бизнеса. Практика показывает, что живая система обработки информационных рисков, которой является набор процессов СОИБ, является доступной и для небольших организаций, и на порядок эффективнее обеспечивает сохранность данных о держателях карт, чем формальный подход к стандарту PCI DSS, как к "листу самооценки".

Автор статьи: Сергей Шустиков


Prostobankir (18.09.2012 в 12:02) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
Контактная информация
© 2003-2012 ООО "Ди Эй Кей продакшн"