Продолжение статьи «С чего начинается безопасность?», опубликованной 21 сентября 2009 года, повествующее о процессах, внедрение которых в рамках системы менеджмента информационной безопасности необходимо для достижения соответствия PCI DSS.

Сергей Шустиков, руководитель направления менеджмента ИБ компании Digital Security, QSA

Информационная безопасность сложна? Разложим на простые составляющие!

В статье «С чего начинается безопасность?», описывающей подход к разработке и внедрению системы менеджмента информационной безопасности (СМИБ), было отмечено, что для достижения удобства управления непрерывным процессом под названием «обеспечение информационной безопасности», его следует разложить на составляющие процессы.

В самом деле, мы сталкиваемся с достаточно непростой задачей – управлением сложным многогранным процессом оценки и снижения информационных рисков, затрагивающим все сферы деятельности компании. Практика показывает, что декомпозиция сложной задачи на простые составляющие подчас является единственно возможным методом её решения.

Для начала давайте рассмотрим систему обеспечения информационной безопасности, существующую практически в каждой компании, в формальном или неформальном виде – не суть важно. Мы увидим, что даже на самом низком уровне зрелости подхода компании к решению вопросов защиты информации, в ней присутствует управляющая составляющая (например, принятие ИТ-директором управленческого решения об установке антивирусной системы) и исполнительная составляющая (установка системным администратором антивируса на компьютеры и его реагирование его срабатывание). Первое – это зачаток управления рисками (неформальное осознание высокого уровня критичности опасности вирусной активности в сети и необходимости минимизации вероятности возникновения этого явления). Второе – это неформальный процесс функционирования внедренного средства снижения риска.

Структура системы обеспечения информационной безопасности

Нам стало очевидно то, что система обеспечения информационной безопасности (СОИБ) состоит из двух частей – управляющей системы, принимающей решения о том какие риски как обрабатывать, то есть системы менеджмента информационной безопасности (СМИБ), и объекта управления – непосредственно процессов обработки рисков, составляющих систему информационной безопасности (СИБ).

Если мы взглянем на методологию, предлагаемую стандартом информационной безопасности Центрального Банка Российской Федерации (СТО БР ИББС-1.0-2008), то мы увидим в ней описание структуры системы обеспечения информационной безопасности организации, состоящей из двух компонентов - системы менеджмента информационной безопасности и системы информационной безопасности. Структура системы обеспечения информационной безопасности представлена на рисунке 1.

Рис. 1. Структура системы обеспечения информационной безопасности

В соответствии с описанной структурой, мы рассмотрим два вида процессов – процессы системы менеджмента информационной безопасности и процессы системы информационной безопасности.

Процессы системы менеджмента информационной безопасности

Как известно, в основе СМИБ лежит модель непрерывного улучшения качества, также известная как цикл Деминга или цикл PDCA. Отсюда становятся очевидны четыре процесса СМИБ:

• Процесс планирования, целью которого является выявление, анализ и проектирование способов обработки рисков информационной безопасности. При создании этого процесса следует разработать методику категорирования информационных активов и формальной оценки рисков на основе данных об актуальных для рассматриваемой информационной инфраструктуры угрозах и уязвимостях. Применительно к области аудита PCI DSS можно выделить два типа ценных информационных активов, обладающих разным уровнем критичности – данные о держателях карт и критичные аутентификационные данные.
• Процесс внедрения спланированных методов обработки рисков, описывающий процедуру запуска нового процесса обеспечения информационной безопасности, либо модернизации существующего. Особое внимание следует уделить описанию ролей и обязанностей, а также планированию внедрения.
• Процесс мониторинга функционирующих процессов СОИБ (стоит отметить, что мониторингу эффективности подлежат как процессы СИБ, так и самой СМИБ – ведь четыре процесса менеджмента - не гранитные изваяния, и к ним применима самоактуализация).
• Процесс совершенствования процессов СОИБ в соответствии с результатами мониторинга, который делает возможным реализацию корректирующих и превентивных действий.

На практике эти процессы описываются политикой менеджмента информационной безопасности, которая является либо частью политики информационной безопасности, либо самостоятельным документом, представленным на верхнем уровне трехуровневой структуры базы нормативных документов, описанной в предыдущей статье «С чего начинается безопасность?».

Для небольших компаний, а также отдельных подразделений будет достаточно разработать методику формального анализа информационных рисков и предусмотреть процедуру пересмотра процессов по результатам регулярного аудита. Задача вполне посильная, а в качестве дополнительного преимущества описанный подход открывает дорогу к сертификации по стандарту ISO 27001 в будущем.

Процессы системы информационной безопасности

Теперь от стратегии перейдем непосредственно к тактике информационной безопасности и оперативным мероприятиям по защите данных. Система информационной безопасности – это то, что каждый день, каждый час и каждую минуту непосредственно обеспечивает защиту конфиденциальности, целостности и доступности информационных активов. Она состоит из множества различных процессов, каждый из которых направлен на обработку определенных рисков. Такими процессами являются, например, управление доступом, управление изменениями, управление инцидентами, и другие.

Стоит особо отметить то, что отдельно взятый процесс может быть неформальным, то есть не регламентированным никаким документом, однако в той или иной степени он будет снижать риск. Другое дело, что такой процесс практически неуправляем, невозможно оценить его полноту и эффективность.

Из предыдущей статьи «С чего начинается безопасность?» следует то, что процесс управляется на двух уровнях. На тактическом уровне к процессу предъявляются требования, которые находят своё документальное отражение в частных политиках второго уровня, иногда называемых регламентами того или иного процесса. По сути, регламент второго уровня является сборником всех требований к процессу – требований законодательства, требований международных и национальных стандартов, требований регуляторов, требований бизнеса, требований информационной безопасности на основе анализа рисков, договорных требований контрагентов и технологических ограничений.

Документ второго (тактического) уровня устанавливает рамки, из которых процесс не должен выходить, но он ни в коем случае не должен содержать в себе описание реализации процесса и составляющих его процедур.

Реализация процесса может меняться от системы к системе, от подразделения к подразделению, адаптируясь под те или иные технологии и бизнес-процессы. Ход процесса описывают документированные процедуры нижнего уровня базы нормативных документов (например – процедура предоставления пользователю прав доступа к данным, определяющая форму и маршрут согласования заявки на доступ). Главное условие – процедура должна строго оставаться в рамках, определенных для неё регламентом процесса.

Количество процессов зависит от вида организации и масштаба её информационной инфраструктуры, в среднем это 12-16 самостоятельных процессов системы информационной безопасности, хотя в отдельных случаях их количество может достигать 22 и более. Хорошими пособиями по внедрению процессов информационной безопасности являются сам стандарт PCI DSS, стандарт ISO 27002, библиотека ITIL.

Для малых и средних организаций, либо отдельных подразделений, для которых стоит вопрос соответствия стандарту PCI DSS, следующий перечень процессов (а в широком смысле этого слова – ветвей управления, состоящих из регламентов и документированных процедур, предусматривающих ведение записей) будет достаточным:

• Распределение обязанностей и ответственности.
• Повышение осведомленности сотрудников в вопросах информационной безопасности.
• Обеспечение непрерывности бизнес-процессов.
• Мониторинг информационной инфраструктуры.
• Безопасное хранение данных.
• Управление доступом к данным.
• Управление информационной инфраструктурой.
• Управление изменениями.
• Управление инцидентами и уязвимостями.
• Защита от вредоносного кода.
• Взаимодействие с третьими сторонами.
• Безопасная разработка программного обеспечения.
• Управление аутентификацией и парольная защита.
• Обеспечение физической безопасности.
• Криптографическая защита и управление ключами.

Разложив, таким образом, процесс обеспечения информационной безопасности на более простые составляющие, мы достигаем необходимого нам уровня управляемости. Своевременно реагируя на изменение картины информационных рисков, мы изменяем соответствующие процессы системы обеспечение информационной безопасности и тем самым поддерживаем её актуальность.

Процедуры можно менять достаточно часто, как того требует изменяющаяся информационная инфраструктура и новые требования регламентов. Они в свою очередь должны обновляться в соответствии с изменением внешних и внутренних требований к процессам.

Наличие документированной самоактуализирующейся системы обеспечения информационной безопасности свидетельствует о высокой степени зрелости компании в отношении вопросов информационной безопасности. При этом не стоит думать, что такие системы – удел крупного бизнеса. Практика показывает, что живая система обработки информационных рисков, которой является набор процессов СОИБ, является доступной и для небольших организаций, и на порядок эффективнее обеспечивает сохранность данных о держателях карт, чем формальный подход к стандарту PCI DSS, как к «листу самооценки».

Об авторе

Сергей Шустиков – руководитель направления менеджмента информационной безопасности компании Digital Security. Специализируется на управлении безопасностью. Область профессиональных интересов охватывает разработку систем менеджмента информационной безопасности в соответствии с международными стандартами и проведение аудитов на соответствие требованиям международных и национальных стандартов индустрии защиты информации (PCI DSS, ISO 27001, СТО БР-ИББС-1.0).

Занимается научно-исследовательской деятельностью в области системного анализа методов управления в сфере информационных технологий и информационной безопасности. Преподает ряд специальных дисциплин на кафедре Безопасных Информационных Технологий Санкт-Петербургского Государственного Университета Информационных Технологий Механики и Оптики.

О стандарте PCI DSS

Стандарт PCI DSS (Payment Card Industry Data Security Standard) предназначен для обеспечения безопасности обработки, хранения и передачи данных о держателях платежных карт в информационных системах компаний, работающих с международными платежными системами Visa, MasterCard и другими. Стандарт разработан сообществом PCI Security Standards Council, в которое входят мировые лидеры на рынке платежных карт, такие как American Express, Discover Financial Services, JCB, MasterCard Worldwide и Visa International.

Под действие требований стандарта попадают банки, процессинговые центры, поставщики ИТ-услуг, торгово-сервисные предприятия, и иные организации, обрабатывающие транзакции по международным платежным картам. К части этих компаний международные платежные системы предъявляют требование о прохождении обязательного ежегодного аудита компанией, обладающей статусом QSA.

Текущая версия стандарта 1.2.1 выпущена в июле 2009 года.

наверх