Управление Информационной Безопасностью 15.1. Введение

Существование многих бизнес-процессов невозможно без информагиюниого обеспечешпг Фактически все больше и болыпе бизнес-пропессов состоят исключительно из одной или нескольких инс)ор-мационных систем. Управление Информацнон1ЮЙ Безопасностью - важный вид деяте.1ьности, целью которого является контроль процессов обеспечения информацией и предотврап1ение ее несанк-щюгигрованного использования.

В течение многих лет проблемы Управления Ин(]зормационной Безопасностью в значительной степени игнорировались. Ситуация меняется. Безопасность сейчас считается од1гой из гааппых проблем .менеджмента на предстоя1цие годы. Интерес к этому предмету повышается из-за растугцего использования сети Интернет и особенно электронной коммерции. Все больше видов бизнеса открывают электронные шлюзы к своей деятельности. Это вызывает опасность постороннего вмешательства и поднимает некоторые важные для бизнеса вопросы. Какие риски мы хотим контролировать и какие меры мы должны нредиринять сейчас и в течение следующего бюджетного цикла? Руководство выспгего уровня должно принимать решения, а это возможно только при глубоком а1юлизе рисков. Этот анализ должен предоставить входную информацию для Процесса Управления Ин({)орма-ционной Безопасностью, необходимую для опрсделспия требований безопасности.

Требования бизнеса к информагцтбнной безопасности оказывают воздействие на поставншков ИТ-услуг и должны быть заложены в Соглашениях об Уровне Сервиса. Задачей Процесса Управления Информационной Безопасностью является постоятгпое обеспечение безопасности услуг на согласованном с заказчико.м уровне. Безопасность в настоящее время является важнейшим показателем качества менеджмента.

Процесс Управления Информационной Безопасностью способствует интеграции аспектов безопасности в ИТ-оргатгизацйю с точки speinin поставщика услуг. Сборник практических рекомендаций по Управлению Ипфор.мационной Безопасностью (BS 7799) дает руководство для разработки, введения й оценки мер безопасности.

15.1.1. Основные понятия

Процесс Управления Информационной Безопасностью входит в сферу компетенции оби1ей информационной безопасности, задачей которой является обеспечение сохранности инфор.мации. Сохранность означает защище)июсть от известных рисков и, по возможности, уклонение от неизвестных рисков. Ичгструментом обеспечения этого является безопасность. Целью является заицп-а ценной 1ик})0рмации. Ценность информации влияет на необходимый Уровень Конфиденциальности, целостное ги и доступности.

•Конфиденциальное!* - защита информации от несанкционироваипого доступа и использования.

•Целостность - точность, полнота и своевременность информации.

•Доступность - информация должна быть доступна в .1юбой момент предварительного согласованного временного интервала. Это зависит от непрерывности работы систем обработки информации.

Вторичные аспекты включают приватность (конфиденциальность и целостность частной информации), анонимность и 1Ц}оверяемость (возможность проверки правильного использования информации и эффективности мер безопасности).

15.2. Цели процесса

в послслпис десятилетия почти все виды бизнеса стали более зависимыми от ип(1)ормационных систем. использование компьютерных сетей также возросло, они ие ограггпчиваются рамками одной opiaimsaiuni, они соединяют бизнес-партнеров и обеспечивают связь с внеигним миром. возрастающая сложность ит-1п-1фрасгр)ктуры оз1гачаст, что бизнес становится более уязвимым по OTiionie-ппю к техническим сбоям, человеческим оп1ибкам, злоумышленным действиям, хакерам и взломип-i-кам, компьютерным вирусам и т. д. эта растущая сложность требует унифицированного управленческого гюдхода. процесс управления информационной безопасностью имеет важные связи с дру-ГИЛП1 процессами. некоторые втщы деятельности по обеспечению безопасностн осуществляются другими процессами библиотеки п1ц под контролем процесса управления информацпонной безопасностью.

процесс управления инфор.мационной безопасностью имеет две цели:

•выполнение требовани!"! безопасности, закрепленных в sla и других требованиях ыгешннх договоров, закоподачельных актов и установлешптх правил;

•обеспечение базового уровня безопасности, независимого от внешних требований.

процесс управления информациопной безопасностью необходим для поддержки непрерывного функгпюнирования ит-организации. он также способствует упрощению управления информационной безопасностью в рамках управления уровнями сервиса, так как степень сложности управления sla завис1гт также от их количества.

входными дани1.1ми для процесса служат соглашения sla, определяюпп<е требоваши! безо1гасности, по 1ШЗМ0ЖН0СТИ дополненные документами, определяюпщми политику компании в этой области, а также другие вненпше требования. процесс также получает важную информагщю, относящуюся к проблемам безопасности из других процессов, например об инцидентах, связанных с безопасностью. выходные данные включают тшформацию о достигнутой реализащш соглаиюний sla вместе с от-чета.ми о нештатных ситуациях с точки зрения безопасности и регулярные планы по безопасности. в настояихее время многие орга1шзации имеют дело с информационной безонасностью па стратегическом уровне - в ипформационпой политике и инфо1)мационном планированни, и иа операционном уровне, при закупке инструментария и других продуктов обеспечепия безопасности. недостаточно внимания уделяется реальтюму управлению информатюшюй Безопасност1,ю, непрерывному анализу и преобразованию правил работы в технические решения, поддержанию э(})фектив110сти мер безопасности при изменении требований и среды. следствием разрыва между операционным и стратегическ1гм уровнями является то, что на тактическом уровне значительньге средства вкладываются в уже неактуальные меры безопасности, в т время как должны быть приняты новые, более эффективные меры. задачей процесса управления информапионпой безопасностью является обеспечение принятия эф())ективных мер по информационной безопасности на стратегическом, тактическом и операцтюнном уровнях.

15.2.1. Преимущества использования процесса

информационная безопасность не является самоцелью; она должна служить интересам бизнеса и организации. некоторые виды информации и информационных услуг являются для организации более важными, чем другие. ин(!юрмационная безопасность должна соответствовать уровню важности информации. безопасность планируется путем соблюдения баланса между мерами безопасности, ценностью информапии и суп1сствуюпи1ми угрозами в среде обработки. эффективное информационное обеспечение с адекватной защитой информации важно для организации по двум причинам:

•внутренние причины: эффективное функционирование организатпш возможно только при наличии доступа к точной и полной информации. уровень информационной безопасности доллсеп соответствовать .этому принципу.

15. У1{ЙЛВЛЕНМ1: ИНФ01РМА1ИОННОЙ В£ЗОГАОЮСГЬЮ

• Внешние причины: в ре;ззльтате вьиюлнення в организации определеииых процессов создаются продукты и услуги, которые доступны для рынка илн общества, для вьтолпепия определенных задач. Неадекватное информационное обеспечение ведет к производству некачественных продуктов и услуг, кото1)ые не могут использоваться для выполнения соответствующих задач и ставят под угрозу cyniecTBOBanne opraninaiuni. Адекватная запигта пнфорлгацпи является важным условием для адекватного информационного обеспечения. Таким образом внеииюе зпаче1И1е информа-ЦН01НЮЙ безопасности определяется отчасти ее внутренним значением.

Безопасность может со.здавать значительную добавочную стоимость для информационных систем. Эф()ективная безопасность способствзет непрерывности функционирования организации и выполнению ее целей.

15.3. Процесс

Организации и их информационные системы меняются. Стандартные пщблопы, такие как Сборник практических рекомендаций по Управлению Ин(})орма1Ц101Н10Й Безопасностью (Code of Practice for Information Security Management), статичны и недостаточно соответствуют быстры.м измеиеииям в ИТ. По этой причине деятельность, ведувщяся в рамках Процесса Управления Иифор.мационпой Безопасностью, должна ностоянио пересматриваться в целях обеспечения эффективности Процесса. Управление Информационной Безопасностью сводится к никогда ие прекрапинопю.муся циклу планов, действий, проверок и актов. Виды деяте;и>пости, проводимые в рамках процесса Управления Ипформациоииой Безопасностью или в других процессах под контролем Управления Ииформагт-онной Безопасностью, описываются ниже.

Заказчик определяет требования биз1 leca

Представление отчета □ Согласно SLA

Соглашение об Уровне Сервиса/раздел о безопасности □ Соглашение между заказчиком и поставщиком

Поставщик ИТ-услуг выполняет требования безопасности SLA

ПОДДЕРЖКА:

□Обучение

□\учшение

□Планирование

□Внедрение

ПЛАНИРОВАНИЕ:

□Соглашения об Уровне Сервиса

□Внешние договоры

□Операционные Соглашения об Уровне Услуг

□Внутренние правила работы

КОНТРОЛЬ:

□Организовать!

□Создать структурированный подход к управлению

□Распределить ответственности

ОЦЕНЮк:

□Внутренний аудит

□Внешний аудит

□Самооценка

□Инциденты, связанные с безопасностью

ВНЕДРЕНИЕ:

□Улучшение осведомленности

□Классификация и Управление Ресурсами

□Безопасность персонала

□Физическая безопасность

□Управление Безопасностью Аппаратного Обеспечения, Сетей, Приложений и т д.

□Контроль доступа

□Решение инцидентов по безопасности

Рис. 15.1. Процесс Управления Информационной Безопасностью (источник: СХЗС)