5.1.2. Принципы построения архитектурных решений суиб

В качестве базиса для построения архитектурных решений СУИБ выбраны следующие основные общие принципы [41]:

– масштабируемость;

– иерархичность построения;

– функциональная полнота;

– методологическое единство функциональных спецификаций ИС на всех уровнях архитектуры СУИБ;

– открытость архитектуры;

– ориентация на использование открытых стандартов;

– использование преимущественно готовых решений;

– ориентация на процессные принципы организации системы эксплуатации;

– эволюционность и сохранение ранее сделанных инвестиций.

Кроме того, при разработке архитектуры СУИБ необходимо соблюдать следующие специфичные принципы.

1. Централизация и специализация управления. Структура СУИБ должна быть ориентирована на структуру основных бизнес процессов организации и структуру подконтрольных объектов СУИБ.

2. Необходимость и достаточность контроля*. Ни один из информационных активов и элементов инфраструктуры ИС области действия СУИБ не должен оставаться без контроля.

*Под контролем подразумевается механизм периодического сбора информации об подконтрольном объекте, ее структурирования и интерпретации в согласованных терминах, а также построения истории эволюции свойств.

3. Безопасность и эффективность применения средств мониторинга ИБ. Для подконтрольных объектов, которые не поддерживают стандартные протоколы (например, SMNPv.3), либо если на уровне стандартных протоколов не обеспечивается сбор нужных первичных сообщений ИБ (например, для приложений прикладного уровня) возможно применение специализированных средств мониторинга ИБ (программных агентов). Применение средств мониторинга ИБ не должно приводить к деградации работы подконтрольных объектов и нарушать их функциональные свойства. Эффективность средств мониторинга ИБ должна определяться не только способностью контролировать состояние ИБ подконтрольных объектов, но и безопасностью этого контроля для их работы.

4. Консолидация мониторинга ИБ. При создании элементов СУИБ необходимо, чтобы осуществлялась:

– консолидация обработки событий (все события мониторинга ИБ, получившие качественную оценку угрозы ИБ, должны проходить через единую систему обработки и анализа, что позволит поддержать единый временной контекст состояния ИБ организации);

– консолидация представления состояния (большое количество события мониторинга ИБ необходимо консолидировать в виде оценки обобщенного состояния ИБ организации, что повысит информированность пользователей об уровне угрозы ИБ и ответственность служб СУИБ при реализации соответствующих регламентов безопасности. Обобщенная оценка состояния ИБ должна предусматривать иерархичность предоставляемой информации о состоянии ИБ организации для различных уровней архитектуры СУИБ (первичное сообщение ИБ – сообщение мониторинга ИБ – коррелированное сообщение мониторинга ИБ).

5. Унификация. Принцип унификации должен распространяться на:

– применяемые средства администрирования для типовых СУИБ;

– способы сбора первичных сообщений ИБ от типовых контролируемых объектов ИС;

– применяемые критерии классификации и категорированию первичных событий ИБ;

– универсальный классификатор коррелированных событий мониторинга ИБ организации;

– способы оценки и представления состояния ИБ;

– типовые регламенты по обработке и реагированию на коррелированные события мониторинга ИБ в ИС;

– способы передачи данных между компонентами СУИБ.

6. Непрерывность мониторинга ИБ. Мониторинг состояния ИБ организации должен осуществляться непрерывно (постоянно).

7. Разделение функций управления и администрирования СУИБ. В СУИБ на уровне функциональных компонент должны быть разделены задачи управления ИБ и администрирования СУИБ (прежде всего, настройка, конфигурационное управление на уровне аппаратно–программных комплексов).

8. Принцип сервисного подхода к управлению ИБ. Требования к управлению и контролю СУИБ задаются процессами СУИБ. Для обеспечения обратной связи с процессами СУИБ должны быть определены спецификации структурированных сообщений мониторинга ИБ, которые описывают параметры/метрики штатного состояния ИБ.

5.1.3. Модель Демнинга (PDCA)

Стандарт ISO 27001 декларирует два основных принципа управления безопасностью.

1. Процессный подход к управлению безопасностью, который рассматривает управление как процесс (набор взаимосвязанных непрерывных действий), акцентирует внимание на достижении поставленных целей, а также на ресурсах, затраченных для достижения целей.

2. Применение модели Демнинга или модели PDCA (Планируй, Plan — Выполняй, Do — Проверяй, Check — Действуй, Act) как основы для всех процедур (процессов) управления ИБ.

Стандарт ISO определяет РDСА–модель как основу функционирования всех процессов (процедур) СОИБ (рис.5.1).

Рис. 5. 1. Этапы жизненного цикла процедур PDCA–модели СУИБ организации

Для каждой процедуры системы управления информационной безопасностью определяются правила выполнения, необходимые ресурсы, график выполнения, процедуры контроля, критерии оценки эффективности. Различные процедуры СУИБ должны последовательно и непрерывно выполняться на следующих этапах модели PDCA:

– планирование процедур (этап «ПЛАНИРОВАНИЕ»);

– внедрение процедур (этап «ВЫПОЛНЕНИЕ»);

– проверка эффективности выполнения ИБ (этап «ПРОВЕРКА»);

– совершенствование процедур - внесение необходимых изменений в СИБ и СОИБ в целом (этап «СОВЕРШЕНСТВОВАНИЕ»).

Далее через определенный период времени требуется заново пересматривать цели и задачи выполнения процедур, то есть заново приступать к выполнению первого этапа модели РDСА.

Основная сложность при реализации жизненного цикла СУИБ заключается в проверке эффективности ее процедур. Для каждой процедуры необходимо разработать критерии эффективности, по которым будет проверяться ее эффективность. Такие критерии требуется разработать также и для всей СУИБ в целом. Критериями оценки эффективности СУИБ могут быть, например, изменение количества инцидентов ИБ, квалификация пользователей в области ИБ и пр.

Целью СУИБ является обеспечение снижения риска ИБ (ущерба) и поддержание его уровня до приемлемой руководством организации величины при осуществлении бизнес-процесса. Процессы управления рисками являются одними из основных процессов СУИБ и включают в себя

1) анализ рисков (идентификация ценных активов, оценка рисков – расчет ожидаемого ущерба);

2) обработка рисков (выбор метода управления рисками, подготовка плана мероприятий по снижению рисков с указанием контрмер, расчет эффективности выбранных контрмер по снижению рисков, определение ответственных и сроки реализации контрмер, контроль выполнения);

3) разработка требований к системе мониторинга ИБ и контроля защитных мер СОИБ;

4) внедрение контрмер и системы мониторинга ИБ;

5) организация процесса мониторинга эффективности ИБ (сбор и анализ событий ИБ и выявление инцидентов ИБ);

6) принятие мер по усовершенствованию ИБ организации.

Пункты 1-3 относятся к этапу «ПЛАНИРОВАНИЕ», п.4 – к этапу «ВЫПОЛНЕНИЕ», п.5 – к этапу «ПРОВЕРКА», п.6 – к этапу «СОВЕРШЕНСТВОВАНИЕ»

Рассмотрим более подробно этапы жизненного цикла процедур PDCA–модели СУИБ организации