Доброго времени суток, уважаемые!
Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста.

Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план.
К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).

Анализ рисков

Практически всё в ИБ начинается с анализа рисков, это основа и начало всех процессов в безопасности. Проведу краткий ликбез в этой области, так многие понятия не очевидны и чаще всего путаются.
Итак есть 3 основных понятия:

Вероятность реализации
Уязвимость

Риск - это возможность понести какие-либо потери (денежные, репутационные и тд), в связи с реализацией уязвимости.
Вероятность реализации - это насколько вероятно, что данная уязвимость будет эксплуатирована для реализации риска.
Уязвимость - непосредственно брешь в вашей системе безопасности, которая с некоей долей вероятности может нанести вред, то есть реализовать риск.

Есть множество методик, различных подходов к управлению рисками, расскажу об основах, остальное вам на первых порах в становлении СУИБ и не понадобится.
Итак вся работа по управлению рисками сводится либо к снижению вероятности реализации, либо к минимизации потерь от реализации. Соответственно риски могут быть приемлемыми и неприемлемыми для организации. Приемлемость риска лучше всего выражать в конкретных суммах потерь от его реализации (в любом случае даже, вроде бы, неосязаемые репутационные потери в итоге выливаются в упущенную прибыль). Необходимо решить с руководством какая сумма для них будет порогом приемлемости и сделать градацию (лучше 3-5 уровней для потерь). Далее сделать градацию по вероятности, так же как с потерями и потом оценивать риски по сумме этих показателей.
После проведения подготовительной работы, выделите реальные уязвимости вашей организации и проведите оценку рисков их реализации и потерь. В итоге вы получите 2 набора рисков - приемлемых и неприемлемых. С приемлемыми рисками вы просто смиритесь и не будете предпринимать активных действий по их минимизации (то есть мы принимаем, что минимизация этих рисков будет нам стоить дороже потерь от них), а с неприемлемыми есть 2 варианта развития событий.

Минимизировать - уменьшить вероятность возникновения, уменьшить возможные потери или вообще предпринять меры по устранению риска (закрытие уязвимости).
Передать - просто переложить заботы о риске на другое лицо, к примеру застраховать организацию от случаев наступления риска или передать актив, подверженный риску (к примеру перенести сервера в дата-центр, таким образом за бесперебойное питание и физическую сохранность серверов будет ответственнен дата-центр).

Масштабы

В первую очередь, конечно же, необходимо оценить масштабы бедствия. Я не буду касаться моментов по защите персданных, по этому поводу уже куча статей, есть описанные не раз практические рекомендации и алгоритмы действий.
Напомню также, что информационная безопасность - это в первую очередь люди, так что нужна нормативная документация. Что бы написать её, для начала нужно понять что туда вписывать.
Основных документов для ИБ в этом плане 3:

Политика информационной безопасности

Ваш основной документ, настольная книга, Библия и другие громкие названия. Именно в ней описаны все процедуры по ИБ, описан уровень безопасности, которому вы следуете в своей организации. Так сказать - идеальный срез безопасности, задокументированный и принятый по всем правилам.
Политика не должна быть мертвым грузом, документ должен жить, должен изменяться под влиянием новых угроз, веяний в ИБ или пожеланий. В связи с этим политика (как, в принципе, и любой процессный документ) должна регулярно пересматриваться на предмет актуальности. Лучше делать это не реже 1 раза в год.

Концепция информационной безопасности

Небольшая выжимка из политики, где описаны основы безопасности вашей организации, нет никаких конкретных процессов, но есть принципы построения СУИБ и принципы формирования безопасности.
Этот документ скорее имиджевый, он не должен содержать никакой «чувствительной» информации и должен быть открытым и доступным для всех. Разместите его на своём сайте, вложите в лоток на информационном стенде, что бы ваши клиенты и посетители могли с ним ознакомиться или просто видели, что вы заботитесь о безопасности готовы это продемонстрировать.

Положение о коммерческой тайне (конфиденциальной информации)

В скобках указал альтернативное наименование подобного документа. По большому счёту, ком. тайна - это частный случай конфиденциалки, но отличий крайне мало.
В этом документе необходимо указать следующее: как и где хранятся документы, составляющие ком. тайну, кто ответственнен за хранение этих документов, как должен выглядеть шаблон документа, содержащего подобную информацию, что будет за разглашение конфиденциальной информации (по законодательству и согласно внутренним договоренностям с руководством). Ну и конечно же перечень сведений, составляющих, для вашей организации, коммерческую тайну или являющиеся конфиденциальными.
По закону, без предпринятых мер по защите конфиденциалки, у вас её как бы и нет:-) То есть сама-то информация вроде бы и есть, а вот конфиденциальной она являться не может. И тут есть интересный момент, что соглашение о неразглашении конфиденциалки подписывают в 90% организации с новыми сотрудниками, а вот мер, положенных по закону, предпринято мало у кого. Максимум перечень информации.

Аудит

Что бы написать эти документы, точнее, что бы понять что должно быть в них, нужно провести аудит текущего состояния ИБ. Понятно, что в зависимости от деятельности организации, территориальной распределенности и тд очень много нюансов и факторов для каждой конкретной организации, но есть несколько основных моментов, которые являются общими для всех.

Политика доступа

Тут 2 ветки - это физический доступ в помещения и доступ в информационные системы.

Физический доступ

Опишите вашу систему контроля доступа. Как и когда выдаются карточки доступа, кто определяет кому в какое помещение есть доступ (при условии, что помещение оборудовано СКД). Так же здесь стоит упомянуть систему видеонаблюдения, принципы её построения (отсутствие слепых зон в наблюдаемых помещениях, обязательный контроль входов и выходов в/из здания, контроль входа в серверную и тп). Так же не забудьте про посетителей, если у вас нет общей приёмной (да и при наличии её) стоить указать каким образом посетители попадают в контролируемую зону (временные пропуска, сопровождающий).
Для серверной, так же, должен быть отдельный перечень доступа с журналом посещений (проще, если в серверной установлена СКД и всё ведется автоматически).

Доступ в информационные системы

Опишите процедуру выдачей доступов, если используется многофакторная аутентификация, то и выдача доп идентификаторов. Парольная политика (срок действия паролей, сложность, количество попыток входа, время блокирования УЗ после превышения количества попыток) для всех систем, в которые выдаётся доступ, если у вас не Single Log On повсюду.

Построение сети

Где находятся сервера, имеющие доступ снаружи (DMZ), как к ним обеспечивается доступ изнутри и снаружи. Сегментация сети, чем она обеспечивается. Межсетевые экраны, какие сегменты они защищают (если есть внутри сети между сегментами).

Удаленный доступ

Как он организован и кто имеет доступ. В идеале должно быть так: только VPN, доступ только по согласованию с высшим руководством и с обоснованием необходимости. Если нужен доступ третьим лицам (вендоры, обслуживающий персонал и тд), то доступ ограничен по времени, то есть учетка выдаётся на определенный срок, после которого автоматически блокируется. Естественно, при удаленном доступе, любом, права необходимо ограничивать по минимуму.

Инциденты

Как они обрабатываются, кто ответственный и как построен процесс инцидент менеджмента и проблем менеджмента (если есть, конечно). По работе с инцидентами у меня уже был пост: habrahabr.ru/post/154405 можете ознакомиться подробнее.
Так же необходимо определиться с трендами в вашей организации. То есть какие инциденты возникают чаще, какие несут больший вред (простой, прямые потери имущества или денег, репутационный вред). Это поможет в контроле рисков и проведении анализа рисков.

Активы

В данном случае под активами понимается всё, что требует защиты. То есть сервера, информация на бумаге или съёмных носителях, жесткие диски компьютеров и тд. Если какие-либо активы содержат «чувствительную» информацию, то они должны быть промаркированы соответствующим образом и должен быть перечень действия, разрешенных и запрещенных с данным активом, таких как передача третьим лицам, передача по электронной почте внутри организации, выкладывание в публичный доступ внутри организации и тд.

Обучение

Момент, о котором многие забывают. Сотрудникам нужно рассказать о мерах безопасности. Не достаточно ознакомления с инструкциями и политиками под роспись, 90% их не прочитают, а просто распишутся, дабы отвязались. Про обучение я тоже делал публикацию: habrahabr.ru/post/154031 Там приведены основные моменты, важные при обучении и про которые не стоит забывать. Помимо непосредственно самого обучения, такие мероприятия полезны в плане общения между сотрудниками и офицером безопасности (красивое название, мне очень оно нравится:-). Можно узнать о каких-то мелких происшествиях, пожеланиях, да даже проблемах, про которые в обычном рабочем ритме вы вряд ли бы узнали.

Заключение

Вот, наверное, и всё, о чём хотелось поведать начинающим на поприще ИБ. Я понимаю, что подобным постом я, возможно, лишу какого-то своего коллегу работы, так как потенциальный работодатель просто возложит на админа эти обязанности, но я и огорожу многие организации от интеграторов-бракоделов, любящих выкачивать деньги за аудиты и пишущие многостраничные памфлеты ни о чём, выдавая их за нормативку (http://habrahabr.ru/post/153581/).
В следующий раз постараюсь рассказать об организации службы информационной безопасности как таковой.

P.S. если ставите минус, прокомментируйте, пожалуйста, дабы в будущем мне не допускать подобных ошибок.

Теги: Добавить метки

Компания «Инфосистемы Джет» выполняет комплексные проекты по построению и внедрению эффективных систем управления информационной безопасностью (СУИБ). Проекты включают анализ, разработку и внедрение процессов управления ИБ. Внедренные системы соответствуют как требованиям бизнеса, так и требованиям международных стандартов и лучших практик. Как следствие, они приносят не только маркетинговый эффект, но и позволяют оптимизировать бюджет на ИБ, повысить прозрачность ИБ для бизнеса, а также уровень защищенности и зрелости заказчика.

Проблематика

Для защиты важной информации компании применяют разнообразные меры обеспечения ИБ.Однако использование даже самых современных и дорогостоящих средств не является гарантией их эффективности и может приводить к необоснованным тратам на обеспечение ИБ. Наличие большого количества мер и средств обеспечения ИБ усложняет процесс управления. Зачастую механизмы, позволяющие на постоянной основе отслеживать и анализировать работу системы обеспечения ИБ и вносить коррективы в её работу, недостаточно отлажены.

Отсутствие формализованных процессов управления и обеспечения ИБ приводит к повышению операционных затрат. Из-за отсутствия организационного подхода все возникающие вопросы решаются в отдельном порядке, который меняется от случая к случаю.

Решение

СУИБ является частью общей системы обеспечения информационной безопасности. Один из ее основных компонентов – процесс управления рисками ИБ. Результаты его работы позволяют разрабатывать решения по обработке неприемлемых рисков и внедрению экономически обоснованных мер обеспечения ИБ. Планирование реализации выбранных мер позволяет распределять затраты на обеспечение ИБ как в краткосрочной, так и в долгосрочной перспективах.

В рамках СУИБ создается и/или описывается ряд процессов управления и обеспечения ИБ, что позволяет структурировать эти процессы и обеспечить их воспроизводимость. При ее построении необходимо взаимодействие с высшим руководством и представителями бизнес-подразделений заказчика, чтобы выявить их ожидания от системы.

С учетом того, что удобство системы управления и обеспечения ИБ для исполнителей определяется эффективностью ее работы, специалисты компании «Инфосистемы Джет» уделяют особое внимание выстраиванию и последующей отладке процессов СУИБ. В ходе работ всегда учитываются существующие в компании процессы, их особенности и уровни зрелости, а также традиции корпоративной культуры. Особое внимание уделяется обучению сотрудников, задействованных во внедрении системы, распределению обязанностей, а также организации внутреннего центра компетенции по управлению и обеспечению ИБ. В результате внедренные процессы становятся неотъемлемой частью компании, работая в соответствии с поставленными целями, а не остаются «папкой бумаг, лежащей в шкафу».

Компания «Инфосистемы Джет» оказывает широкий спектр услуг в области управления и обеспечения ИБ:

Разработка и внедрение СУИБ на основе стандарта ISO/IEC 27001

Разработка и внедрение основных процессов управления ИБ осуществляется с учетом организационной структуры и специфики заказчика. Помимо этого проводится обучение ключевых сотрудников работе с СУИБ, оказывается консультационная поддержка.

Разработка и внедрение отдельных процессов управления и обеспечения ИБ

Разработка и внедрение отдельных процессов управления и обеспечения ИБ (например, управления рисками, управления инцидентами, внутренних аудитов и т.д.) осуществляется в соответствии с требованиями международных и российских стандартов по ИБ (ISO/IEC 27001:2005, ISO/IEC 27002:2005, ISO/IEC 27005:2008, PCI DSS, СТО БР ИББС – 1.0 и др.), а также лучшими практиками в этой области.

Консультанты могут составить план-график последовательного внедрения процессов управления ИБ с целью дальнейшего объединения в единую СУИБ.

Подготовка к сертификации на соответствие требованиям международного стандарта ISO/IEC 27001

Подготовка к сертификации включает проведение предварительного анализа выполнения требований стандарта ISO/IEC 27001, устранение выявленных несоответствий, приведение СУИБ в соответствие требованиям данного стандарта. Аудит проводится сертификационным органом, имеющим соответствующую аккредитацию.

Компания «Инфосистемы Джет» осуществляет поддержку заказчиков при проведении аудитов и помогает устранить выявленные несоответствия.

Поддержка разработанной СУИБ или отдельных процессов

Компания «Инфосистемы Джет» осуществляет:

подготовку СУИБ заказчика к проверочным аудитам: экспресс-обследование, определение работ, которые необходимо проделать для прохождения проверочного аудита органа по сертификации;
доработку или внедрение конкретных процессов СУИБ. Например, проведение ежегодного анализа рисков ИБ или проведение внутренних аудитов ИБ.

Преимущества работы с компанией «Инфосистемы Джет»:

системный подход и собственная уникальная методика, которые позволяют быстро и эффективно разрабатывать и внедрять процессы обеспечения и управления ИБ;
сплоченная проектная команда сертифицированных специалистов, способная решать самые сложные задачи;
консультанты компанииявляются преподавателями по системам управления в BSI MS и привлекаются для проведения аудитов;
главный принцип работы – «каждая компания уникальна». Определяются потребности в области ИБ для каждого клиента и предлагаются решения, которые помогут обеспечить реальную защищенность информации, а не просто формальное выполнение требований (законодательства, партнеров, контрагентов, отрасли и т.д.) и договора.

Выгоды

Внедрение процедур управления и обеспечения ИБ позволяет:

оптимизировать и обосновывать расходы на информационную безопасность;
повысить эффективность обеспечения ИБ за счет достижения комплексности, взаимосвязанности, эффективности и прозрачности всех мер по обеспечению информационной безопасности;
обеспечить соответствие уровня ИБ как законодательным, отраслевым, внутрикорпоративным требованиям, так и бизнес-целям;
снизить операционные затраты за счет формализации и стандартизации процессов управления и обеспечения ИБ;
повысить доверие партнеров и клиентов компании за счет демонстрации высокого уровня зрелости обеспечения ИБ.

Помимо этого, внедрение и сертификация СУИБ позволяет:

повысить капитализацию и стоимость акций компании;
повысить международные рейтинги компании, необходимые для привлечения зарубежных инвестиций и выхода на международные рынки;
защитить инвестиции.

Опыт

Специалисты компании «Инфосистемы Джет» обладают наибольшим опытом на территории СНГ по построению СУИБ и отдельных процессов управления ИБ, включая управление рисками ИБ, управление инцидентами ИБ и управление уязвимостями.

Успешно выполнены пять крупных проектов по созданию и последующей подготовке СУИБ к сертификации на соответствие требованиям стандарта ISO/IEC 27001:2005 в компаниях:

ОАО «Межрегиональный Транзит Телеком»
ОАО «РОСНО»
ООО «Центр безопасности информации»
Askari Bank (Пакистан)
ООО «ЭЛЬДОРАДО»

Также завершены более 30 проектов по построению отдельных процессов управления ИБ, поддержке СУИБ и их подготовке к надзорным аудитам со стороны органа по сертификации.

Информационная безопасность является одним из важнейших аспектов внедрения ИС. С одной стороны, информатизация менеджмента создает ее неоценимую поддержку, но с другой стороны менеджмент попадает в прямую зависимость от уровня информационной безопасности ИС.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий (атак), чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Объектами посягательств могут быть сами технические средства, являющиеся материальными объектами, а также программное обеспечение и базы данных.

Управление информационной безопасностью – процесс комплексный, и включающий ряд технических, организационных и правовых мер, которые должны быть зафиксированы в корпоративной политике по безопасности.

К техническим мерам можно отнести:

· защиту от несанкционированного доступа к системе,

· резервирование особо важных обеспечивающих подсистем,

· организацию вычислительных сетей с возможностью распределения ресурсов в случае нарушения работоспособности отдельных звеньев,

· установку оборудования для обнаружения и тушения пожаров,

· использование конструкционные мер защиты от хищений, саботажа, диверсий, взрывов,

· установку резервных систем электропитания,

· оснащение помещений замками,

· физическое разграничение доступа персонала в помещения,

· установку систем сигнализации и т.д.

К организационным мерам относятся:

· охрана информационных систем,

· тщательный подбор персонала,

· исключение случаев ведения особо важных работ только одним человеком,

· наличие плана восстановления работоспособности системы после выхода ее из строя,

· организация и обслуживание предприятия информатики посторонними лицами, не заинтересованными в сокрытии фактов нарушения ее работы,

· универсальность средств защиты для всех пользователей (включая высшее руководство),

· разделение полномочий в области доступа к данным,

· возложение ответственности на лиц, которые должны обеспечить безопасность работы предприятия информатики.

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав, совершенствование законодательства в области информационных технологий.

Все большую известность при построении корпоративных систем управления информационной безопасностью (СУИБ) завоевывает международный стандарт ISO/IEC 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования», в соответствии с которыми компании могут формализовать и структурировать процессы управления ИБ по следующим направлениям:

· разработка политики и организация ИБ,

· организация управления внутренними активами и ресурсами компании, составляющими основу ее ключевых бизнес-процессов,

· защита персонала и снижение внутренних угроз компании,

· физическая безопасность в компании и безопасность окружающей среды,

· управление средствами связи и эксплуатацией оборудования,

· разработка и обслуживание аппаратно-программных систем,

· управление непрерывностью бизнес-процессов в компании,

· соблюдение правовых норм по безопасности.

Существует ряд общепризнанных методик, помогающих эффективно управлять информационной безопасностью. Известна и широко используется методология моделирования угроз (Microsoft Threat Modeling Methodology), методика оценки риска DREAD, модель деления угроз на категории STRIDE (http://msdn.microsoft.com/ru-ru/magazine/cc700352.aspx).

У компании IBM - это методология Method for Architecting Secure Solutions (MASS), которая помогает выявить проблемы защиты, создать прочную архитектуру и выработать надежную политику защиты (www.redbooks.ibm.com).

Из известных и популярных методик необходимо вспомнить подход компании ISS к информационной безопасности, получивший название ADDME и который включает в себя 5 этапов.

1 этап - оценка (assess). На этом этапе осуществляется идентификация и инвентаризация всех ресурсов организации. На данном этапе осуществляются анализ риска (risk assessment), а также поиск уязвимостей (vulnerability assessment), тестирование на проникновение (penetration assessment) и оценка угроз (threat assessment).

2 этап - проектирование (design). На этом этапе разрабатывается политика безопасности организации и вырабатываются принципы оценки эффективности, предлагаемых в ней мер (законодательных, организационных, программно-технических). При этом учитываются собранные на первом этапе данные о пользователях, имеющихся сетевых устройствах, расположении критических информационных ресурсов и т.п.

3 этап - развертывание (deploy). В рамках данного этапа осуществляются работы по установке средств защиты, их интеграции и тестированию в принятой технологии обработки информации, по обучению пользователей требованиям политики безопасности и правилам эксплуатации установленных защитных средств.

4 этап - эксплуатация (manage and support). На этом этапе оценивается эффективность принятых мер и их соответствие положениям разработанной политики безопасности. В случае возникновения инцидентов, связанных с ее нарушением, реализуется разработанный на втором этапе план реагирования на инциденты и, как следствие, осуществляется пересмотр некоторых положений политики безопасности. Изменение технологии обработки информации, появление новых технологий защиты и т.п. также являются толчком к пересмотру разработанных документов.

5 этап - обучение (education). Обучение - это постоянный процесс, осуществляемый на всех этапах построения комплексной системы информационной безопасности. В нем участвуют все сотрудники организации: операторы, администраторы, руководители и т.д.

В идеальной компании процесс управления информационной безопасностью является проактивным (превентивным и постоянным).

Для информационной безопасности, чтобы быть эффективной, она должна быть тесно связана с безопасностью бизнеса и потребностями бизнеса.
Каждый процесс в рамках ИТ-организации должен включать вопросы безопасности. Безопасность это не автономная деятельность; это нить, проходящая через все процессы поставщика услуг.
Управление организации несет полную ответственность за организацию информации. Руководство несет ответственность за ответы на все вопросы, которые влияют на защиту информации. Совет директоров, должен сделать информационную безопасность неотъемлемой частью корпоративного управления.
Разрешения

Процесс и рамки управления информационной безопасностью, как правило, включают в себя:
- Политика информационной безопасности, при поддержке подмножества политик, касающихся аспектов из стратегии, контроля и регулирования
- Система управления информационной безопасностью
- всеобъемлющей стратегия безопасности, тесно связанная с бизнес-целями, стратегиями и
планами

Модель безопасности также должна включать в себя эффективную организационную структуру.
Безопасность не является обязанностью одного человека, необходимо рассматривать в профилях роли на всех уровнях организации.
Управления безопасностью необходимо, чтобы поддерживать политику, и управлять рисками безопасности.
Наконец, структура безопасности должна учитывать и включать в себя:
- Мониторинг процесса для обеспечения соблюдения и обеспечения обратной связи по эффективности
- Стратегию и план для безопасности, связанные с коммуникациями
- Подготовку и стратегию и планы по обеспечению всех сотрудников знаниями по их обязанностям.

Политика информационной безопасности

Деятельность по управлению информационной безопасностью должна быть направлена на и управление Политикой информационной безопасности.
Политика информационной безопасности должна иметь полную поддержку топ-менеджеров в управлении ИТ, а в идеале поддержка и приверженность высшего исполнительного управления бизнесом.
Эта политика должна охватывать все сферы безопасности, быть адекватными и удовлетворять потребности бизнеса.
Политика информационной безопасности должна быть широко доступна для всех клиентов и пользователей.
Эта политика должна быть санкционирована высшим руководством бизнеса и ИТ.

Все политики безопасности должны быть пересмотрены по крайней мере ежегодно, и в случае необходимости.

Система управления информационной безопасностью

Система управления информационной безопасностью это рамки политик, процессов, стандартов, руководящих принципов и инструментов, что гарантирует организации достижение своих целей в Управлении информационной безопасностью.

Система менеджмента информационной безопасности обеспечивает основу для развития экономически эффективных программ информационной безопасности, которые поддерживают бизнес цели.
Система должна учитывать не только технологии.

Методики 4П (люди, процессы, продукты и партнеры) можно использовать, чтобы убедиться, в высоком уровне безопасности во всех областях.

ISO 27001 является формальным стандартом, который может обеспечить независимую сертификацию Системы управления информационной безопасности. Организации могут добиваться сертификации, чтобы доказать их соответствия требованиям безопасности.

Система управления информационной безопасностью включает в себя организационную структуру для разработки, внедрения, управления, поддержания и обеспечения соблюдения процессов обеспечения безопасности информацией и управления систематически и последовательно в рамках всей организации.

Приведенная ниже диаграмма показывает подход к управлению информационной безопасностью
Системы. Такой подход широко используется, и базируется на советах и рекомендациях, описанных в источниках, включая ISO 27001.

Контроль

Контроль информационной безопасности является первым подпроцессом Управления Информационной Безопасностью, и относится к организации и Управлению Процессом. Этот вид деятельности включает в себя структурированный подход Управления Информационной Безопасностью, который описывает следующие подпроцессы: формулирование Планов по безопасности, их реализация, оценка реализации и включение оценки в годовые Планы по безопасности (планы действий). Также описываются отчеты, предоставляемые заказчику через Процесс Управления Уровнем Сервиса.
Этот вид деятельности определяет подпроцессы, функции безопасности, роли и ответственности. Он также описывает организационную структуру, систему отчетности и потоки управления (кто кого инструктирует, кто что делает, как производится доклад о выполнении). Следующие меры из сборника практических рекомендаций по Управлению Информационной Безопасностью реализуются в рамках этого вида деятельности.

Внутренние правила работы (политика):
- разработка и реализация внутренних правил работы (политики), связи с другими правилами;
- цели, общие принципы и значимость;
- описание подпроцессов;
- распределение функций и ответственностей по подпроцессам;
- связи с другими процессами ITIL и их управлением;
- общая ответственность персонала;
- обработка инцидентов, связанных с безопасностью.

Организация информационной безопасности:
- структурная схема управления;
- структура управления (организационная структура);
- более детальное распределение ответственностей;
- учреждение Руководящего комитета по информационной безопасности;
- координация информационной безопасности;
- согласование инструментальных средств (например, для анализа риска и улучшения осведомленности);
- описание процесса авторизации средств ИТ в консультации с заказчиком;
- консультации специалистов;
- сотрудничество между организациями, внутреннее и внешнее взаимодействие;
- независимый аудит информационных систем;
- принципы безопасности при доступе к информации третьих сторон;
- информационная безопасность в договорах с третьими сторонами.

Планирование

Подпроцесс планирования сводится к определению содержания раздела соглашений SLA по вопросам безопасности при участии Процесса Управления Уровнем Сервиса и описанию деятельности, связанной с вопросами безопасности, проводимой в рамках Внешних Договоров. Задачи, которые в соглашении SLA определяются общими словами, детализируются и конкретизируются в форме Операционного Соглашения об Уровне Услуг (OLA). Соглашение OLA может рассматриваться как План по безопасности для организационной структуры поставщика услуг и как конкретный План по безопасности, например, для каждой ИТ-платформы, приложения и сети.

Входной информацией для подпроцесса планирования являются не только положения соглашения SLA, но и принципы политики безопасности поставщика услуг (из подпроцесса контроля). Примерами этих принципов: "Каждый пользователь должен быть идентифицирован уникальным образом"; "Базовый Уровень Безопасности предоставляется всегда и для всех заказчиков".

Операционные Соглашения об Уровне Услуг (OLA) в отношении информационной безопасности (конкретные Планы по безопасности) разрабатываются и реализуются с помощью обычных процедур. Это означает, что если эти виды деятельности стали необходимы в других процессах, то нужна координация с этими процессами. Все необходимые изменения ИТ-инфраструктуры проводятся Процессом Управления Изменениями с использованием входной информации, предоставляемой Процессом Управления Информационной Безопасностью. Ответственным за Процесс Управления Изменениями является Руководитель этого Процесса.
Подпроцесс планирования координируется с Процессом Управления Уровнем Сервиса по вопросам определения содержания раздела по безопасности соглашения SLA, его обновления и обеспечения соответствия его положениям. За эту координацию отвечает руководитель Процесса Управления Уровнем Сервиса.

Требования по безопасности должны определяться в соглашении SLA, по возможности в измеримых показателях. Раздел по безопасности соглашения SLA должен гарантировать, что достижение всех требований и стандартов безопасности заказчика может быть проконтролировано.

Реализация

Задачей подпроцесса реализации (внедрения) является выполнение всех мероприятий, определенных в планах. Этот подпроцесс может поддерживаться следующим контрольным списком действий.

Классификация и Управление ИТ-ресурсами:
- предоставление входных данных для поддержки Конфигурационных Единиц (CI) в базе CMDB;
- классификация ИТ-ресурсов в соответствии с согласованными принципами.

Безопасность персонала:
- задачи и ответственности в описании работ;
- отбор персонала;
- соглашения о конфиденциальности для персонала;
- обучение персонала;
- руководства для персонала по разрешению инцидентов, связанных с безопасностью, и устранению обнаруженных дефектов защиты;
- дисциплинарные меры;
- улучшение осведомленности по вопросам безопасности.

Управление Безопасностью :
- внедрение видов ответственности и распределение обязанностей;
- письменные рабочие инструкции;
- внутренние правила;
- меры безопасности должны охватывать весь жизненный цикл систем; должны существовать руководства по безопасности для разработки систем, их тестирования, приемки, операционного использования, обслуживания и выведения из операционной среды;
- отделение среды разработки и тестирования от операционной (рабочей) среды;
- процедуры обработки инцидентов (осуществляемые Процессом Управления Инцидентами);
- использование средств восстановления;
- предоставление входной информации для Процесса Управления Изменениями;
- внедрение мер защиты от вирусов;
- внедрение методов управления для компьютеров, приложений, сетей и сетевых услуг;
- правильное обращение с носителями данных и их защита.

Контроль доступа:
- внедрение политики доступа и контроля доступа;
- поддержка привилегий доступа пользователей и приложений к сетям, сетевым услугам, компьютерам и приложениям;
- поддержка барьеров сетевой защиты (фаервол, услуги доступа по телефонной линии, мосты и маршрутизаторы);
- внедрение методов идентификации и авторизации компьютерных систем, рабочих станций и ПК в сети

Оценка

Существенное значение имеет независимая оценка реализации запланированных мероприятий. Такая оценка необходима для определения эффективности, ее выполнение также требуют заказчики и третьи стороны. Результаты подпроцесса оценки могут использоваться для корректировки согласованных с заказчиком мер, а также для их реализации. По результатам оценки могут быть предложены изменения, в случае чего формулируется Запрос на изменения (RFC), направляемый в Процесс Управления Изменениями.
Существует три вида оценки:
- самостоятельная оценка: проводится в первую очередь линейными подразделениями организации;
- внутренний аудит: проводится внутренними ИТ-аудиторами;
- внешний аудит: проводится внешними ИТ-аудиторами.
В отличие от самостоятельной оценки аудит не проводится тем же персоналом, который участвует в других подпроцессах. Это необходимо для обеспечения разделения ответственностей. Аудит может проводиться отделом внутреннего аудита.
Оценка также проводится как ответное действие в случае возникновения инцидентов.
Основными видами деятельности являются:
- проверка соответствия политике безопасности и реализация Планов по безопасности;
- проведение аудита безопасности ИТ-систем;
- определение и принятие мер несоответствующего использования ИТ-ресурсов;
- проверка аспектов безопасности в других видах ИТ-аудита.

Поддержка

В связи с изменением рисков при изменениях в ИТ-инфраструктуре, в компании и в бизнес-процессах необходимо обеспечить должную поддержку мер безопасности. Поддержка мер безопасности включает поддержку соответствующих разделов по безопасности соглашений SLA и поддержку подробных Планов по безопасности (на Уровне Операционных Соглашений об Уровне Услуг).
Поддержание эффективного функционирования системы безопасности проводится на основе результатов подпроцесса Оценки и анализа изменений рисков. Предложения могут быть внедрены или в подпроцессе планирования, или в ходе обеспечения поддержки всего соглашения SLA. В любом случае внесенные предложения могут привести ко включению дополнительных инициатив в годовой План по безопасности. Любые изменения подлежат обработке в рамках обычного Процесса Управления Изменениями.

Целями поддержки являются улучшение договоренности по вопросам безопасности, как
указано в соглашениях об уровне обслуживания и соглашений оперативном уровне, и
улучшение реализации мер безопасности и контроля.

Обслуживание должно быть достигнуто с помощью Plan-Do-Check-Act цикла, который является
формальным подходом, предложенным ISO 27001 для установления Информационной системы управления безопасностью. Это подробно описано в CSI.

Когда процесс правильно реализован, управление информационной безопасностью должен иметь шесть основных результатов. Ниже приведен полный список результатов и связанных с ними данных.

Стратегическое выравнивание:
о Требования безопасности должны определяться корпоративными требованими
о Решения безопасности должны соответствовать процессам предприятия
о инвестиций в области информационной безопасности должны быть согласованы со стратегией предприятия и согласованными рисками

Доставка Значение:
о Стандартный набор методов безопасности, то есть требований Baseline Security соблюдении правил
о Правильно распределенные приоритеты и усилия для областей с наибольшей отдачей и бизнес- выгод
о Институционализированные и массовые решения
о Комплексные решения, охватывающие организацию и процесс, а также технологии о культуре постоянного улучшения

Управление рисками:
о Согласованный профиль риска
о Понимание подверженности риску
о Осознание приоритетов управления рисками
о Снижение риска
о Риск принятия / уважение

Управление производительностью:
о Определен, согласован набор метрик
о Определен процесс измерения, который поможет выявить недостатки и обеспечить обратную связь о ходе решения вопросов
о Независимое обеспечение

Управление ресурсами:
о Знание собраны и доступны
о документированы процессы и практики безопасности
о Разработано архитектура безопасности для эффективного использования ресурсов инфраструктуры
- обеспечение бизнес-процессов.

СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

«СВЯЗЬ – ЭФФЕКТИВНОСТЬ»

РОСС RU.М821.04ФБГ0

Система управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи»

Требования, программа и методика сертификационных испытаний

1 Введение 1

2 Область применения 2

4.2.Требования к политикам оператора 5

4.3.Требования к функциональности 6

4.4. Требования к взаимодействию 7

5 Программа сертификационных испытаний 7

5.1. Объект испытаний 7

5.2. Цель испытаний 7

6 Методика проведения сертификационных испытаний 8

6.1. Условия проведения испытаний 8

6.2. Методика проверки 9

1 Введение

Требования к Системе управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» (далее – Требования) определяют базовый уровень информационной безопасности, используя который, каждый оператор может оценить состояние сетевой и информационной безопасности, учитывая то, какие стандарты безопасности актуальны, какие из этих стандартов должны быть использованы, когда они должны быть использованы и как они должны применяться.Кроме того описывается готовность и способность оператора связи взаимодействовать с другими операторами, пользователями и правоохранительные органами с целью совместного противодействия угрозам информационной безопасности.

Требования представляют собой минимальный набор рекомендаций, реализация которых будет гарантировать достаточный уровень информационной безопасности коммуникационных услуг, позволяя при этом обеспечить баланс интересов операторов, пользователей и регулятора.

Программа и методика определяют все виды, условия, объем и методы сертификационных испытаний базового уровня информационной безопасности операторов связи.

Настоящий документ может быть использован для случаев, когда оператор связи:

нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям;

имеет цель демонстрировать взаимодействующим операторам связи способность и готовность совместно с ними противостоять угрозам информационной безопасности.

2 Область применения

Настоящие Требования, программа и методика разработаны в соответствии с Положением о Системе добровольной сертификации «Связь – Эффективность» на базе Рекомендации сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

Настоящие Требования, программа и методика разработаны для системы добровольной сертификации и предназначены для операторов связи, сертификационных центров и лабораторий при проведении добровольной сертификации Системы управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» в Системе добровольной сертификации «Связь – Эффективность».

3 Нормативные ссылки, определения и сокращения

3.1. В настоящих Требованиях, программе и методике использованы ссылки на следующие нормативные документы:

Федеральный закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

Доктрина информационной безопасности Российской Федерации от 09 сентября 2000 г. № Пр-1895.

Правила присоединения сетей электросвязи и их взаимодействия (утв. Постановлением Правительства РФ от 28 марта 2005 г., N 161).

ГОСТ Р 50739-95 Средства вычислительной техники. Защита от НСД к информации. Общие технические требования.

ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.

ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

ГОСТ Р ИСО/МЭК 27001-2006 Методы обеспечения информационной безопасности. Системы управления информационной безопасностью. Требования.

ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения.

Рекомендация сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

3.2. В настоящих Требованиях, программе и методике использованы термины соответствующие определениям Федерального закона «О связи», а также дополнительно определены следующие термины и сокращения:

Аккаунт – персональная учетная запись пользователя информационной системы, программного обеспечения оборудования, включающее имя пользователя (логин), его скрываемые индивидуальные признаки (пароль) и другие сведения, необходимые для получения доступа.

Антивирусное программное обеспечение – специальное программное обеспечение, предназначенное для выявления и деактивации (блокирования) вредоносного программного кода, специально созданного для нарушения целостности, доступности и конфиденциальности данных.

Атака типа «отказ в обслуживании» – преднамеренное воздействие на информационную систему или оборудование с целью создания условий, при которых правомерные пользователи не могут получить доступ к предоставляемым системой или оборудованием ресурсам или такой доступ будет затруднен.

Информационная безопасность оператора связи – состояние защищенности информационных ресурсов оператора связи и поддерживающей их инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба оператору связи, пользователям услуг связи, и характеризуемая способностью обеспечивать конфиденциальность, целостность и доступность информации при ее хранении, обработке и передаче.

Лицензионное соглашение – договор между владельцем программного обеспечения и пользователем ее копии

Оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.

Политика безопасности оператора связи – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи.

Провайдер услуг – юридическое лицо, занимающееся предоставлением (доставкой) абоненту услуг связи определенного вида и обеспечивающее согласованное использование сетевых возможностей, связанных с данными услугами.

Спам – незапрашиваемая корреспонденция, передаваемая в электронном виде (как правила, средствами электронной почты).

Управление рисками – процесс определения, контроля, уменьшения или полного устранения (с приемлемыми затратами) рисков для информационной безопасности, которые могут повлиять на информационные системы оператора связи и поддерживающую их инфраструктуру.