Управление информационной безопасностью. Стандарты СУИБ (СИ) - Вадим Викторович Гребенников
Шрифт:
Интервал:
Закладка:
Относительно СУИБ управление включает в себя наблюдение и выработку решений, необходимых для достижения бизнес-целей посредством защиты информационных активов. Управление ИБ выражается через формулирование и использование политик ИБ, процедур и рекомендаций, которые затем применяются повсеместно в организации всеми лицами, связанными с ней.
Система управления
Система управления использует совокупность ресурсов для достижения целей организации. Система управления организации включает в себя структуру, политики, планирование, обязательства, методы, процедуры, процессы и ресурсы.
В части ИБ система управления позволяет организации:
— удовлетворять требования безопасности клиентов и других заинтересованных лиц;
— улучшать планы и деятельность организации;
— соответствовать целям ИБ организации;
— выполнять нормативы, законодательство и отраслевые приказы;
— организованно управлять информационными активами для содействия постоянному улучшению и коррекции текущих целей организации.
3.3. Процессный подход
Организации нужно вести разные виды деятельности и управлять ими для того, чтобы функционировать эффективно и результативно. Любой вид деятельности, использующий ресурсы, нуждается в управлении для того, чтобы обеспечить возможность преобразования входов в выходы посредством совокупности взаимосвязанных действий, — это также называется процессом.
Выход одного процесса может непосредственно формировать вход следующего процесса, и обычно такая трансформация происходит в планируемых и управляемых условиях. Применение системы процессов в рамках организации вместе с идентификацией и взаимодействием этих процессов, а также их управлением может быть определено как «процессный подход».
Дополнительная информация (в стандарте отсутствует)
Родоначальником процессного подхода к управлению качеством принято считать американского ученого Уолтера Шухарта. Его книга начинается с выделения 3-х стадий в управлении качеством результатов деятельности организации:
1) разработка спецификации (техническое задание, технические условия, критерии достижения целей) того, что требуется;
2) производство продукции, удовлетворяющей спецификации;
3) проверка (контроль) произведенной продукции для оценки ее соответствия спецификации.
Шухарт одним из первых предложил линейное восприятие указанных стадий замкнуть в цикл, который он отождествил с «динамическим процессом приобретения знаний».
После первого цикла результаты проверки должны являться основой совершенствования спецификации на продукцию. Далее производственный процесс корректируется на основе уточненной спецификации, а новый результат производственного процесса опять же подвергается проверке и т. д.
Американский ученый Эдвардс Деминг трансформировал цикл Шухарта в форму, наиболее часто встречаемую сегодня. Он, чтобы перейти от контроля качества к управлению качеством, дал более общие названия каждому из этапов, и, кроме того, добавил еще один, 4-й этап, с помощью которого он хотел обратить внимание американских менеджеров на то, что они недостаточно анализируют полученную на третьем этапе информацию и не улучшают процесс. Именно поэтому этот этап называется «воздействуй» (Act), и соответственно цикл Шухарта-Деминга называют моделью «PDCA» или «PDSA»:
— Plan — Планирование — идентификация и анализ проблем; оценка возможностей, постановка целей и разработка планов;
— Do — Реализация — поиск решения проблем и реализация планов;
— Check (Study) — Оценка результативности — оценка результатов реализации и выводы в соответствии с поставленной задачей;
— Act — Улучшение — принятие решений на основе полученных выводов, коррекция и улучшение работы.
Модель «PDCA» для СУИБ
Планирование — Реализация — Контроль — Улучшение
1. Планирование (разработка и проектирование): установление целей, политик, элементов управления, процессов и процедур СУИБ для достижения результатов, соответствующих общей политике и целям организации.
2. Реализация (внедрение и обеспечение функционирования): внедрение и применение политик ИБ, элементов управления, процессов и процедур СУИБ по оценке и обработке рисков и инцидентов ИБ.
3. Контроль (мониторинг и анализ функционирования): оценка результативности выполнения требований политик, целей ИБ и эффективности функционирования СУИБ и оповещение высшего руководства о результатах.
4. Улучшение (сопровождение и усовершенствование): проведение корректирующих и предупреждающих действий, основанных на результатах аудита и анализа со стороны руководства для достижения улучшения СУИБ
Метод и цикл Шухарта-Деминга, который чаще называют циклом Деминга, обычно иллюстрируют схему управления любым процессом деятельности. Он с необходимыми уточнениями к настоящему времени получил широкое применение в международных стандартах управления:
— качеством продукции ISO 9000;
— охраной окружающей среды ISO 14000;
— техникой безопасности и охраной труда OHSAS 18000;
— информационными сервисами ISO/IEC 20000;
— безопасностью пищевой продукции ISO 22000;
— информационной безопасностью ISO/IEC 27000;
— безопасностью ISO 28000;
— непрерывностью бизнеса ISO 22300;
— рисками ISO 31000;
— энергетикой ISO 50000.
3.4. Важность СУИБ
Организации следует определить риски, связанные с информационными активами. Достижение ИБ требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.
Принятие СУИБ является стратегическим решением для организации, и необходимо, чтобы это решение постоянно интегрировалось, оценивалось и обновлялось в соответствии с потребностями организации.
На разработку и реализацию СУИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СУИБ должны отражать интересы и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков, бизнес-партнеров, акционеров и других третьих сторон.
Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критичные активы. Организации и их ИС и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения ИС и систем, вызванные вредоносным ПО, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и более изощренными.
СУИБ важна для предприятий как государственного, так приватного сектора. В любой отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий по управлению риском. Взаимосвязь общедоступных и приватных сетей и обмен информационными активами усложняют управления доступом к информации и ее обработку.
Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных мер защиты. Когда организации принимают семейство стандартов СУИБ, способность применения последовательных и взаимоузнаваемых принципов ИБ можно продемонстрировать бизнес-партнерам и другим заинтересованным сторонам.
ИБ не всегда учитывается при создании и разработке ИС. Кроме того, часто считается, что ИБ — это техническая проблема. Однако ИБ, которая может быть достигнута с помощью технических средств, ограничена и может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СУИБ. Встраивание системы безопасности в функционально завершенную ИС может быть сложным и дорогостоящим.
СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.
Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет: