Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012

452Глава 24. Основные направления и принципы организации СОИБИТС

оопределить стратегию функционирования СОИБ, причём на основе характеристик и направлений деятельности самой компании, её периферийных подразделений, используемого имущества, применяемых технологий. Стратегия должна:

-включать руководство по определению направлений деятель­ ности и устанавливать единые принципы обеспечения ИБ;

-учитывать требования законодательной, нормативной пра­ вовой базы, а также договорных обязательств по обеспече­ нию ИБ;

-быть согласованной с содержанием стратегического управ­ ления рисками компании, частью которого будет СОИБ;

-устанавливать критерии оценки рисков;

-быть утверждённой руководством компании и согласован­ ной с заинтересованными ведомствами и организациями (Примечание. Стратегия СОИБ может рассматриваться как совокупность частных стратегий обеспечения ИБ.);

оопределить способ оценки рисков компании:

-определить методологию оценки рисков, которая является часть СОИБ и входит в состав установленных требований по безопасности циркулирующей в компании информации, а также требований законодательной и нормативной право­ вой базы и договорных обязательств;

-совершенствовать критерии для приемлемых рисков и оп­ ределить допустимые уровни риска.

Выбранная методология оценки рисков должна гарантиро­ вать, что процесс оценивания рисков принесёт соизмеримые (сопоставимые) и воспроизводимые результаты.

•идентифицировать риски, для чего:

-определить используемое имущество в пределах сферы функционирования СОИБ, а также ответственный за это имущество персонал;

-определить угрозы этому имуществу;

-определить уязвимости, которые могут привести к реализа­ ции угроз;

-определить негативные воздействия, которые могут привес­ ти к нарушению конфиденциальности, целостности и ра­ ботоспособности защищаемых объектов;

опроанализировать и оценить риски:

-оценить возможные воздействия на компанию, которые мо­ гут повлечь за собой нарушение безопасности, учитывая последствия нарушений конфиденциальности, целостности и работоспособности защищаемых объектов;

-оценить реальную вероятность осуществления такого на­ рушения безопасности в свете наиболее распространённых угроз и уязвимостей, и негативные воздействия, связанные с защищаемыми объектами, а также процедуры текущего управления и контроля;

-оценить уровни рисков;

-определить является ли риск приемлемым или он требует нового способа нейтрализации на основании сформулиро­ ванного критерия приемлемости критерия;

вопределить и оценить варианты и способы нейтрализации рисков. Возможны следующие действия:

-применение соответствующих процедур контроля и управ­ ления;

-сознательно и беспристрастно признать риски, удостоверив­ шись, что они в явном виде удовлетворяют стратегии компа­ нии по обеспечению ИБ и критерию приемлемости рисков;

-остерегаться рисков;

-передача информации о реальных рисках другим заинтере­ сованным организациям;

овыбрать цели и средства управления.

Цели и средства управления должны выбираться и реализовы­ ваться с учётом удовлетворения требованиям, определённым процессами оценки и нейтрализации рисков. Такой выбор должен учитывать критерии приемлемости рисков, а также требования законодательной и нормативной правовой базы и договорных обязательств;

ополучить санкцию на управление предполагаемыми оставши­ мися рисками;

опровести процедуру авторизации управления в целях внедре­ ния и функционирования СОИБ;

осоставить заключение о применимости. Такое заключение должно включать следующее:

-выбранные цели и средства управления, а также причины их выбора;

-применяемые в настоящее время цели и средства управле­ ния;

-исключённые цели и средства управления и мотивировка такого исключения.

(Примечание. Заключение о применимости суммирует реше­ ния, касающиеся нейтрализации рисков.)

Внедрение и функционирование СОИБ. Руководство и персонал л*обой компании должны:

всоставить план нейтрализации рисков, который определяет соответствующие управляющие (обеспечивающие) процеду­

ры, ресурсы, ответственность и приоритеты при управлении рисками ИБ;

ввнедрить план нейтрализации рисков для достижения постав­ ленных целей управления, который включает анализ финан­ сирования и распределения ролей и ответственности;

ввнедрить выбранные средства управления для достижения по­ ставленных целей управления;

•определить процедуры измерения (оценки) эффективности выбранных средств управления или групп средств управле­ ния, а также определить, как можно использовать эти измери­ тельные процедуры для оценки эффективности управления доступом и могут ли быть получены соизмеримые (сопостави­ мые) и воспроизводимые результаты после реализации этих процедур (.Примечание. Оценка эффективности средств управления позволит руководству и персоналу компании оп­ ределить насколько средства управления обеспечили дости­ жение поставленных целей управления.);

® внедрить программы обучения и оперативного информирования;

•управлять функционированием СОИБ;

•управлять ресурсами СОИБ;

•внедрить процедуры и другие средства управления, способ­ ные обеспечить своевременное выявление и мгновенную от­ ветную реакцию на инциденты, связанные с нарушением ИБ.

Текущий контроль и анализ функционирования СОИБ. Руково­ дство и персонал любой компании должны:

восуществлять текущий контроль и анализ процедур и средств управления в целях:

-своевременного выявления ошибок и сбоев по результатам функционирования компании;

-своевременного определения неудачных и успешных попыток нарушить систему ИБ, а также инцидентов, связанных с ИБ;

-санкционированного управления для определения: была ли функция обеспечения безопасности реализуема как необ­ ходимая и востребованная, делегирована персоналу или была внедрена на основе информационной технологии;

-упрощения обнаружения нарушений системы ИБ и, таким образом, предотвращения инцидентов, связанных с ИБ, на основе использования специальных средств;

-определения были ли эффективными мероприятия по пре­ дотвращению нарушений системы ИБ;

вопределения были ли эффективными мероприятия по пре­ дотвращению нарушений системы ИБ;

ооценивать эффективность средств управления на предмет удовлетворения ими требованиям по безопасности;

опроводить анализ рисков в определённые интервалы, а также анализ уровня оставшихся возможных рисков и определённых допустимых рисков, учитывая следующие изменения:

-структуры компании;

-используемых технологий;

-направлений деятельности компании;

-выявленных угроз;

-эффективности внедрённых средств управления;

-внешних условий, среди которых изменения в законода­ тельной и нормативной правовой сфере, в договорных обя­ зательствах, изменения в социальной сфере;

опроводить плановые внутренние проверки СОИБ через опре­ деленные интервалы (Примечание. Внутренний аудит (про­ верка), иногда именуемый проверкой первого лица, проводит­ ся самой компанией (или от её имени) с определёнными внут­ рикорпоративными целями.);

оосуществлять на регулярной основе анализ управления самой СОИБ, в целях обеспечения гарантированности того, что область её функционирования остаётся адекватной, и определения не­ обходимости функционального усовершенствования СОИБ;

вразрабатывать планы обеспечения ИБ, с учетом результатов текущего контроля и анализа направлений деятельности;

орегистрировать действия и события, которые могли бы повли­ ять на эффективность или функционирование СОИБ.

Эксплуатация и совершенствование СОИБ. Персонал любой

компании должен:

овнедрять необходимые усовершенствования СОИБ;

ввносить необходимые коррективы и осуществлять превентив­ ные мероприятия. Использовать уроки, извлеченные из опыта обеспечения ИБ самой компанией и других структур;

ооповестить все заинтересованные стороны о проводимых меро­ приятиях и усовершенствованиях с соответствующим уровнем детализации и указанием некоторых наиболее важных событий;

•оповестить все заинтересованные стороны о проводимых меро­ приятиях и усовершенствованиях с соответствующим уровнем

детализации и указанием некоторых наиболее важных событий; Требования к документации. Обгцие положения. Документа­ ция должна включать записи об управляющих решениях, и гаран­

тировать, что все мероприятия контролируемы в соответствие с управляющими решениями и стратегией управления, а также, что зарегистрированные результаты воспроизводимы.

Очень важно продемонстрировать взаимосвязи между вы­ бранными средствами управления и результатами анализа и про­ цессом нейтрализации рисков, и соответственно со стратегией обес­ печения ИБ и целями функционирования СОИБ.

Документация СОИБ должна включать:

взадокументированное изложение стратегии и целей функцио­ нирования СОИБ;

вобласть применения СОИБ;

впроцедуры и средства управления для обеспечения нормаль­ ного функционирования СОИБ;

оописание методологии анализа рисков; в отчёт об анализе рисков; в план нейтрализации рисков;

онеобходимые задокументированные организацией процеду­ ры, гарантирующие эффективные планирование, функцио­ нирование и управление процессами обеспечения безопасно­ сти её информации, а также определяющие как измерить эф­ фективность средств управления;

® записи, определяемые международными стандартами; в заключение о применимости.

(Примечание. Под задокументированной процедурой понимается такая процедура, которая была разработана, задокументирована (описана), внедрена и эксплуатируется. Документы и записи могут быть представлены в любой форме и могут храниться в любой среде.)

Контроль документов. Документы, востребованные СОИБ, должны быть защищены и находиться под контролем (т.е. контро­ лируемы). Задокументированная процедура должна быть разрабо­ тана в целях определения управляющих воздействий, которые не­ обходимы для:

«утверждения документов на предмет их адекватности и доста­ точности, перед их изданием;

•проверки и обновления документов, которые остаются востре­ бованными, и их переутверждения;

вгарантии того, что все изменения и текущая ревизия статуса документов определены;

вгарантии того, что все существующие версии используемых документов приемлемы с точки зрения их применения;

вгарантии того, что все документы остались разборчивыми и легко опознаваемы;

вгарантии того, что все документы, для тех, кому они необхо­ димы, являются доступными, а также переданы, хранятся и, в конечном счёте, классифицированы с помощью определённых процедур;

°гарантии того, что все документы, созданные внешним источ­ ником, определены;

огарантии того, что распространение документов является кон­ тролируемым процессом;

опредотвращения несанкционированного использования уста­ ревших документов;

оприменения установленной идентификации для тех устаревших документов, которые сохранились по какой-либо причине. Контроль записей. Записи должны быть сформированы и об­

служиваться для того, чтобы они были доказательством удовлетво­ рения требованиям, предъявляемым к функционированию СОИБ, а также эффективности её функционирования. Записи должны быть защищены и находиться под контролем (т.е. контролируемы). При этом СОИБ должна учитывать любые соответствующие требования законодательной и нормативной правовой базы, а также договор­ ных обязательств. Записи должны оставаться разборчивыми, легко опознаваемыми и восстанавливаемыми. Средства управления, кото­ рые необходимы для идентификации, хранения, защиты, восста­ новления, временного хранения и размещения записей, должны быть задокументированы и введены в эксплуатацию.

Записи должны поддерживаться в эксплуатационном состоя­ нии для обеспечения функционирования СОИБ, а также быть за­ щищены от всех негативных последствий, связанных с нарушения­ ми ИБ, выявленными в СОИБ.

(Примеры записей: журнал дежурной смены компании, аудитор­ ские отчеты и различные заполненные формы авторизации доступа.)

Ответственность руководства компании. Руководство ком­ пании должно обеспечить доказательство того, что оно несёт ряд обязательств, которые включают формирование, внедрение, обес­ печение функционирования, текущий контроль, анализ, обслужи­ вание и совершенствование СОИБ, путём:

» разработки стратегии обеспечения ИБ;

ообеспечения гарантий того, что цели и сфера функциониро­ вания СОИБ, а также соответствующие планы разработаны;

«определения должностных инструкций и ответственности ка­ ждого сотрудника при обеспечении ИБ;

0установления связи с федеральным органом исполнительной власти, который является важным с точки зрения достижения поставленных целей по обеспечению ИБ и реализации страте­ гии ИБ, несёт ответственность по закону и востребован для по­ следующего совершенствования системы обеспечения ИБ;

0обеспечения достаточных ресурсов для формирования, вне­ дрения, функционирования, текущего контроля, анализа, об­ служивания и совершенствования СОИБ;

458Глава 24. Основные направления и принципы организации СОИБИТС

впринятия решения относительно критериев определения приемлемости рисков и уровней приемлемых рисков;

вобеспечения гарантий того, что будут проводиться внутрен­ ние аудиторские проверки СОИБ;

опроведения анализа управления самой СОИБ.

Управление ресурсами. Обеспечение ресурсами. Руководство и персонал компании должны определить те ресурсы, которые необ­ ходимо обеспечить для:

вформирования, внедрения, функционирования, текущего контроля, анализа, обслуживания и совершенствования СОИБ;

огарантии того, что процедуры обеспечения ИБ соответствуют требованиям основных направлений деятельности компании;

вопределения и принятия требований законодательной и нор­ мативной правовой базы, а также договорных обязательств по безопасности;

оподдержания адекватного уровня безопасности путём кор­ ректного применения всех внедрённых средств управления;

опроведения при необходимости анализа, и соответствующего реагирования по результатам такого анализа;

© повышение эффективности СОИБ там, где это необходимо.

Обучение, осведомлённость и компетентность. Руководство ком­ пании должно гарантировать, что весь персонал, который несёт оп­ ределенную ответственность в рамках функционирования СОИБ, является компетентным с точки зрения решения поставленных пе­ ред ним задач на основе:

©определения необходимых компетенций (должностных инст­ рукций) для персонала, обеспечивающего целевое функцио­ нирование СОИБ;

опроведения обучения или других мероприятий, связанных с необходимостью обучения (например, приём на работу ком­ петентного персонала);

ооценки эффективности проведенных мероприятий;

©ведения записей об образовании, обучении, мастерстве, опыте и квалификации.

Руководство компании должно гарантировать, что весь соот­ ветствующий персонал осведомлён относительно значимости и важности его деятельности по обеспечению ИБ и о его вкладе по достижению целей, поставленных перед СОИБ.

Внутренние аудиторские проверки СОИБ. Руководство компа­ нии, в соответствие с планом, должно проводить внутренние аудитор­ ские проверки СОИБ в целях определения того, что цели управления, средства управления, мероприятия и процедуры в рамках СОИБ:

осоответствуют требованиям международных стандартов и за­ конодательной и нормативной правовой базы;

460Глава 24. Основные направления и принципы организации СОИБИТС

опоследующие мероприятия из предыдущего анализа управле­ ния самой СОИБ;

©любые изменения, которые могли бы оказать влияние на функционирование СОИБ;

врекомендации по совершенствованию.

Результаты анализа. Результаты анализа управления самой

СОИБ должны включать любые решения и мероприятия, имеющие отношение к:

• повышению эффективности функционирования СОИБ; © обновлению планов анализа и нейтрализации рисков;

визменению процедур и средств управления, которые непо­ средственно влияют на функционирование СОИБ, как необ­ ходимое мероприятие по реагированию на внешние или внутренние события, способные негативно повлиять на СОИБ, включая изменения:

-требований, определяемых основными видами деятельно­ сти компании;

-требований по ИБ;

-процессов, непосредственно влияющих на существующие требования, определяемые основными видами деятельно­ сти компании;

-требований законодательной и нормативной правовой базы;

-договорных обязательств;

-уровней рисков и/ или критериев приемлемости рисков;

©необходимому обеспечению ресурсами;

©усовершенствованию, касающемуся измерения эффективно­ сти средств управления.

Совершенствование СОИБ. Непрерывность совершенствования.

Руководство и персонал компании должны непрерывно повышать эффективность функционирования СОИБ, благодаря использова­ нию стратегии обеспечения ИБ, достижению целей обеспечения ИБ, контролю результатов, проведению анализа событий, выявлен­ ных в ходе мониторинга, проведению превентивных и корректи­ рующих воздействий и анализу управления самой СОИБ.

Мероприятия по корректировке. Руководство и персонал компании должны провести мероприятия по выявлению событий, вызывающих потенциальные несоответствия с требованиями к функционированию СОИБ, чтобы предотвратить их возникновение. Выбранные превен­ тивные мероприятия должны быть адекватны воздействию потенци­ альных проблем. Задокументированная процедура по реализации превентивного мероприятия должна определять требования к:

о идентификации возможных несоответствий и их последствий;

©оценке необходимости мероприятия по нейтрализации воз­ никновения несоответствий;

©определению и внедрению необходимых превентивных воз­ действий;

орегистрации результатов проведенного превентивного воздей­ ствия;

оанализу проведенного превентивного воздействия. Превентивные мероприятия. Руководство и персонал компании

должны идентифицировать изменения рисков и определять требо­ вания к превентивным мероприятиям, сфокусировав основное вни­ мание на риски, которые претерпели значительные качественные и количественные изменения.

Приоритетность превентивных мероприятий должна опреде­ ляться на основе результатов анализа рисков. (Примечание. Меро­ приятия по предотвращению несоответствий очень часто оказыва­ ются более затратными, чем мероприятия по корректировке.)

24.2. Содержание функционирования СОИБ компании (целевые функции)

Стратегия безопасности. Стратегия информационной безопасно­ сти разрабатывается в целях прямого (непосредственного) управле­ ния обеспечением информационной безопасности в соответствии с требованиями, связанными с основными направлениями деятельно­ сти компании, и требованиями соответствующей законодательной и нормативной и правовой базы. Для этого:

одокумент, определяющий стратегию ИБ, должен быть утвер­ ждён руководством компании и согласован с заинтересован­ ными ведомствами и организациями, опубликован и разослан всему персоналу, включая периферийные подразделения компании;

остратегия ИБ должна в плановом порядке анализироваться, и если возникли соответствующие изменения, то тогда необхо­ димо гарантировать, что она продолжает быть приемлемой,

полнофункциональной и эффективной.

Организация обеспечения ИБ. Одной из целей внутренней ор­ ганизации деятельности компании является управление обеспечени­ ем ИБ в самой компании. Для этого:

0руководство компании обязано активно поддерживать безо­ пасность в рамках компании на основе чёткого управления, демонстрации своих обязательств, однозначного распределе­ ния и признания ответственности за обеспечение ИБ;

®деятельность по обеспечению ИБ должна быть скоординиро­ вана с персоналом различных подразделений компании с учё­