Подготовка к ССК (1). Менеджмент информационной безопасности. Основные понятия
В данной статье мы разберем самые основы менеджмента информационной безопасности, которые должен понимать каждый специалист по информационной безопасности, а уж Сертифицированный Специалист по Кибербезопасности и подавно.
Система менеджмента
Думаю, все согласятся, что основной целью любого человека, занимающегося менеджментом чего-либо, является получение результата (результативность), при этом этот менеджер работает с ограниченными ресурсами и поэтому хочет достичь желаемой цели исключительно минимальными усилиями (эффективность). Когда речь заходит об организации, в которой необходимо направлять к единой цели группы людей и управлять многими процессами, возникает потребность в системе менеджмента. Она должна включать в себя четко сформулированные цели и принципы их достижения, распределение обязанностей и ответственности, описание того, что и как нужно делать, ну и, конечно, необходимые ресурсы.
Организации выстраивают системы менеджмента в различных сферах своей деятельности — управление качеством, ИТ, энергопотреблением и т.д, и т.п. Для нас представляет интерес менеджмент информационной безопасности.
Система менеджмента информационной безопасности
Система менеджмента информационной безопасности (СМИБ) определяется в ГОСТ Р ИСО 27000 через перечисление составляющих ее элементов: «Система менеджмента информационной безопасности (СМИБ) включает в себя политику, процедуры, руководящие принципы и связанные с ними ресурсы и мероприятия, коллективно управляемые организацией в целях защиты ее информационных активов.»
Рассмотрим все понятия из данного определения.
Под активом традиционно понимается все, что имеет ценность для организации, но в данном случае есть уточнение «информационных», что позволяет сузить типы активов теми, которые представляют собой информацию в любом виде и средства ее обработки, передачи и хранения.
Под защитой активов понимается противодействие угрозам, которые могут привести к негативным последствиям: нарушить некоторые из свойств активов, например, конфиденциальности, целостности и доступности.
Для защиты активов внедряются так называемые меры безопасности, которые могут иметь различные цели и быть различными по своему характеру.
Цели мер могут быть:
обнаружение факта реализации угрозы — такие меры называются детектирующими;
предотвращение реализации угрозы — такие меры называются превентивными;
остановка реализации угрозы — такие меры называются корректирующими;
восстановление актива после реализации угрозы — такие меры называются восстанавливающими.
По своему характеру меры, принимаемые в рамках организации, могут быть:
Организационными — это политики, процедуры, стандарты.
Техническими — это различные технические средства, которые могут быть и в виде «железа», и в виде программного обеспечения или даже их компонентов.
Физическими — это все, что позволяет ограничить физический доступ к активам.
Подробнее разберем, что представляют собой организационные меры, которые составляют основу системы менеджмента. В приведенном выше определении они стоят на первом месте, и можно предположить, что система менеджмента может не только существоватьв головах сотрудников организации, но и должна быть зафиксирована в виде набора корпоративных документов, что призвано обеспечить единое понимание процессов.
Политика — документ, в котором определяются цели, принципы или правила их достижения.
Процедура — документ, определяющий последовательность действий для решения какой-либо задачи.
Стандарт — документ, фиксирующий какую-либо практику.
Как правило, в организации еще до внедрения СМИБ сложилась какая-то практика по внутреннему документированию деятельности и могут использоваться такие названия документов, как положение, регламент и т.п. Рекомендуется использовать сложившийся подход к наименованию документов.
PDCA и ГОСТ Р ИСО/МЭК 27001
Очевидно, что необходимо как-то структурировать деятельность по внедрению СМИБ и по ее развитию. В этом помогает стандарт ГОСТ Р ИСО/МЭК 27001, определяющий требования к СМИБ и ее функционированию.
Если мы посмотрим на содержание стандарта, то увидим, что он структурирован по модели управления процессами PDCA (plan-do-check-act), логика которой тривиальна: нужно сначала планировать, потом делать, получив результат проверить, что получили то, что хотели, а далее исправлять допущенные ошибки и улучшать.
Разберем применение PDCA к СМИБ.
Plan
Для того, чтобы внедрить СМИБ нужно сначала определить, какие будут границы данной системы в организации, то есть какие процессы, подразделения и активы она будет покрывать. Это можно сделать, определив внешние и внутренние стороны, заинтересованные в том, чтобы в организации с информационной безопасностью было все хорошо. Внешние стороны — это регулирующие органы, инвесторы, партнеры, клиенты, внутренние стороны — сотрудники. Требования к информационной безопасности, как правило, зафиксированы в законодательстве, соглашениях и контрактах. Анализ применимых требований внешних и ожиданий внутренних сторон позволяет определить процессы организации, которые должны быть защищены в первую очередь. Например, процессы обработки персональных данных, процессы работы с данными заказчиков и т.п. Любой бизнес-процесс выполняется людьми с помощью различных технологий, обрабатывающих и хранящих данные. Соответственно от процесса легко перейти к той информации и средствам ее обработки, которые нужно защищать от угроз.
Определив процессы и подразделения, попавшие в границы СМИБ, можно уже на высшем уровне организации определить политику информационной безопасности, в которую включить цели информационной безопасности и принципы их достижения.
Роль руководства на этапе огромна, так как нужно не только декларировать свою приверженность информационной безопасности, но и обеспечить СМИБ всеми необходимыми ресурсами.
Так как ресурсы всегда ограничены, то необходим механизм, позволяющий определять приоритеты. В СМИБ таким механизмом является оценка рисков, которой мы посвятим следующую статью в этом цикле. На данном этапе нужно понимать, что для активов, попавших в границы СМИБ выявляются угрозы, оценивается их вероятность и возможные последствия, после чего принимается решение по каждому риску, который неприемлем. Для большинства угроз планируется внедрение соответствующих мер безопасности.
Do
В ходе этапа реализации разрабатываются организационные меры, при необходимости внедряются недостающие физические и технические меры. Внедрить организационные меры невозможно без качественного обучения сотрудников. Глубина обучения зависит от роли, которую каждый сотрудник играет в рамках СМИБ. В конце этапа Do мы должны получить работающую СМИБ.
Check
СМИБ контролируется на различных уровнях с различной периодичностью. Постоянный контроль осуществляется менеджерами среднего звена, которые отслеживают метрики процессов. Периодический контроль проводится внутренними аудиторами, которые проверяют, что СМИБ работает так, как это было определено на предыдущих этапах. Критериями для аудита выступают требования ГОСТ Р ИСО/МЭК 27001, корпоративных политик, процедур и стандартов, и, конечно же, законодательства. Высшее руководство организации также периодически проверяет, что СМИБ достигает поставленных перед ней целей.
Act
Результатом предыдущего этапа является информация об обнаруженных несоответствиях, а также о возможностях улучшениях СМИБ. Исправления и улучшения реализуются на этапе Act.
Как правило, организация проходит полностью цикл за один год и дальше он начинается с начала. Появление новых угроз, изменения процессов или технологий влияют на результаты оценки рисков и требуют актуализации принимаемых мер безопасности.
Заключение
Рассмотренные понятия актива, угроз, мер безопасности, PDCA, СМИБ являются ключами для понимания того, как функционируют процессы информационной безопасности в организации.
Три типовых вопроса:
На каком этапе цикла PDCA утверждается политика ИБ?
А) Plan
Б) Do
В) Check
Г) Act
Ответ: A. На этапе планирования определяются цели информационной безопасности и принципы их достижения в данной организации.
Выберите верное утверждение о цикле PDCA в контексте СМИБ:
А) PDCA упоминается в ГОСТ Р ИСО/МЭК 27001
Б) СМИБ можно внедрить только по PDCA
В) ГОСТ Р ИСО/МЭК 27001 структурирован в соответствии с PDCA
Г) PDCA и ГОСТ Р ИСО/МЭК 27001 никак не связаны
Ответ: В. Структура ГОСТ Р ИСО/МЭК 27001 соответствует циклу PDCA.
В каком стандарте присутствует описание мер, связанных с обеспечением непрерывности функционирования мер информационной безопасности?
А) ГОСТ Р ИСО 22301 — 2021
Б) ГОСТ Р ИСО/МЭК 27001 — 2021
В) ГОСТ Р ИСО 19001 — 2021
Г) ГОСТ Р ИСО 22000 — 2019
Ответ: Б. В приложении А ГОСТ Р ИСО/МЭК 27001 — 2021 приведены меры по обеспечению непрерывности функционирования мер информационной безопасности.
В следующей статье погрузимся в оценку рисков информационной безопасности.
Литература
ГОСТ Р ИСО/МЭК 27000
ГОСТ Р ИСО/МЭК 27001
Канал в телеграм с примерными вопросами ССК: https://t.me/sskquestions
Группа в телеграм для разбора вопросов: https://t.me/cybersecspec.
