Контакты
Подписка
МЕНЮ
Контакты
Подписка

Мониторинг ИБ: от общесистемного к частному

Мониторинг ИБ: от общесистемного к частному

В рубрику "В фокусе" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Мониторинг ИБ: от общесистемного к частному

И.Б.Паращук
Военная академия связи, г. Санкт-Петербург

Т.М.Хасан
Военная академия связи, г. Санкт-Петербург

АНАЛИЗ основ системного подхода к МИБ ТКС НГК, определяемых с общесистемных позиций стандартов серии 9000, и их сравнение с конкретными требованиями к системе менеджмента информационной безопасности (ИБ), установленными современными стандартами в данной сфере2, дает возможность взглянуть на МИБ как на комплексный и эволюционирующий процесс наблюдения, оценивания и прогнозирования качества систем защиты информации (СЗИ) сетей такого класса.

Основы системного подхода к МИБ ТКС НГК

Мониторинг ИБ должен пронизывать все уровни ТКС НГК и представлять собой единый взаимоувязанный процесс на различных уровнях управления сетью.

Заказчики и потребители продукции СЗИ ТКС НГК рассчитывают на то, чтобы характеристики используемых телекоммуникационных услуг удовлетворяли бы их потребностям и ожиданиям с точки зрения защищенности информации. Эти потребности и ожидания отражаются в технических условиях заказчика (для этапов проектирования, разработки и производства) и руководящих документах по организации процесса защиты информации (для этапа эксплуатации). Системный подход к менеджменту качества СЗИ ТКС НГК побуждает разработчиков и производителей СЗИ (на этапах проектирования, разработки и производства) и инженеров-администраторов СЗИ ТКС НГК (на этапе эксплуатации) проводить следующие мероприятия:

  • анализировать современные мировые тенденции по нарушению ИБ и требования заказчиков и пользователей (маркетинг) в области И Б;
  • наблюдать, оценивать и прогнозировать выполнение требований к качеству (мониторинг качества) СЗИ ТКС НГК;
  • определять процессы, способствующие получению и предоставлению услуг, приемлемых для потребителей, а также поддерживать эти процессы в управляемом состоянии (менеджмент качества СЗИ).

Применительно к терминам ГОСТ Р ИСО 9000-2001, ориентированного на общесистемные позиции стандартов серии 9000, под менеджментом качества СЗИ ТКС НГК целесообразно понимать скоординированную деятельность по руководству и управлению информационной безопасностью ТКС НГК в отношении качества (рис. 1).

Использование общесистемных стандартизованных понятий менеджмента качества применительно к процессам менеджмента качества СЗИ ТКС НГК позволяет рассматривать функционирование СЗИ ТКС НГК как процесс. Систематическая идентификация и менеджмент применяемых СЗИ ТКС НГК процессов и обеспечение их взаимодействия могут считаться "процессным подходом".

При мониторинге в рамках системы менеджмента качества в ГОСТах много внимания уделено общесистемным терминам "качество" и "оценивание". Качество СЗИ ТКС НГК можно определить как степень соответствия присущих СЗИ ТКС НГК характеристик требованиям. В этом случае оценивание СЗИ ТКС НГК подразумевает под собой основу получения объективных данных, подтверждающих или опровергающих наличие требуемого качества СЗИ ТКС НГК в конкретных условиях функционирования. Важными понятиями, относящимися к мониторингу в целом и к оцениванию качества СЗИ ТКС НГК в частности, являются "верификация" и "валидация". Под "верификацией" понимается подтверждение на основе представления объективных свидетельств того, что установленные требования ИБ ТКС НГК были выполнены. "Валидация" - это подтверждение на основе представления объективных свидетельств того, что установленные требования ИБ ТКС НГК, предназначенные для конкретного применения, были выполнены.

Верификация в рамках МИБ ТКС НГК представляет собой симбиоз решения двух задач:

  • получение подтверждения о том, что установленные требования по ИБ, ориентированные на конкретное использование или применение ТКС НГК, были выполнены;
  • получение подтверждения о том, что установленные требования по ИБ ТКС НГК будут выполнены в измененных (например, критических) условиях.

Очевидно, что на процесс оценивания состояния СЗИ сети оказывает непосредственное влияние ряд факторов, главными из которых являются факторы, характеризующие этапы технической эволюции (ТЭ), жизненного цикла (ЖЦ) и условия эксплуатации.

МИБ обеспечивает информационно-расчетное управление СЗИ в конкретных условиях и обоснование своевременности и необходимости смены ЖЦ и фазы ТЭ СЗИ, действий по обслуживанию и ремонту элементов СЗИ, восстановлению их характеристик и модернизации.

Анализ процесса МИБ с общесистемных позиций стандартов серии 9000 показывает, что МИБ ТКС НГК должен охватывать все пространство состояний ИБ сети с учетом всего диапазона факторов, влияющих на качество СЗИ ТКС НГК, и быть адаптивным. Последнее подразумевает под собой способность изменять режимы (алгоритмы наблюдения, уровни, объем, номенклатуру контролируемых параметров ИБ) в зависимости от определенных угроз безопасности информации и других факторов.

Требования к ИБ в рамках стандарта ISO/IEC IS 27001:2005

Наряду с глобальными направлениями развития форм, закономерностей и факторов эволюции МИБ существуют конкретные особенности, понятия и положения для систем менеджмента ИБ, определенные стандартом ISO/IEC IS 27001:2005.

Указанный стандарт является стандартом де-факто в области построения систем управления ИБ. Его положения на добровольной основе применяют в десятках стран мира множество компаний. В России официальную сертификацию по стандарту ISO/IEC IS 27001:2005 прошла подсистема менеджмента ИБ системы управления персоналом телекоммуникационной дочерней компании "ЛУКОЙЛ-Информ".

Как и стандарт ISO/IEC IS 17799-2:2005, данный стандарт является продолжением и развитием стандарта BS 7799, в котором оговариваются аспекты сертификации ISMS (Information Security Management Systems) систем управления (СУИБ). Сертификация на соответствие стандарту BS 7799 позволяла владельцам информационных ресурсов компаний и их партнерам быть относительно уверенными в том, что подсистема ИБ их организаций построена правильно и функционирует эффективно. Однако широкое международное признание этот стандарт получил лишь после того, как на его основе были приняты стандарты ISO/IEC IS 17799-2:2005 и ISO/IEC IS 27001:2005. Причем "прародителями" последних стали соответственно первая и вторая части стандарта BS 7799 (см. рисунок).

Стандарт ISO/IEC IS 27001:2005 официально вводит в пользование понятие СУИБ и определяет его как систематический подход к управлению конфиденциальной информацией компании. Современная система управления ИБ, сертифицированная в соответствии с новым стандартом ISO/IEC 27001:2005, значительно упрощает процесс управления ИБ предприятия.

Основные положения ISO/IEC IS 27001:2005

Интересен подход, на основе которого в рамках стандарта ISO/IEC IS 27001:2005 определяется понятие "информационная безопасность": сохранение конфиденциальности, целостности и доступности информации. В понятие "информационная безопасность" могут также быть включены и другие свойства: подлинность, невозможность отказа от авторства, достоверность.

Основной задачей построения ИБ ТКС НГК согласно указанному стандарту является защита информационных ресурсов компании НГК от внутренних и внешних умышленных и неумышленных угроз, а целью -обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов нарушения ИБ и уменьшения размеров потенциального ущерба.

В соответствии с ISO/IEC IS 27001:2005 одним из основных элементов внедрения СУИБ является разработка "Политики информационной безопасности компании". В этом документе должны содержаться: определение ИБ и ее цели; область применения системы менеджмента ИБ; основные положения политики ИБ компании; ссылки на документацию СУИБ.

Первым шагом реализации положений "Политики информационной безопасности" для ТКС какой-либо компании НГК должна является разработка и внедрение следующих документов:

  • положение о применимости - обязательный перечень защитных мер, применяемых в компании;
  • процедуры, инструкции, методики - документы, описывающие порядок выполнения каких-либо действий в рамках СУИБ ТКС компании НГК;
  • создание базы данных рисков - сведения о рисках ИБ компании;
  • отчет об оценке рисков;
  • план мероприятий по уменьшению рисков ИБ.

Одними из наиболее характерных особенностей с точки зрения понятий и положений систем менеджмента ИБ в рамках конкретных требований, определенных стандартом ISO/IEC IS 27001:2005, являются понятия ключевых компонентов ИБ:

  • конфиденциальность - обеспечение доступности информации только для авторизированных пользователей;
  • целостность - обеспечение точности и полноты информации, а также методов ее обработки;
  • доступность - обеспечение доступа к информации авторизированным пользователям по требованию.

В стандарте ISO/IEC IS 27001:2005 определяются и другие значимые понятия:

  • информация - это ресурс, который имеет ценность для компании и, следовательно, нуждается в соответствующей защите;
  • носители информации - бумага, аудио, видео, жесткие и гибкие диски, вербальные коммуникации (речь);
  • ресурс - что-либо, имеющее ценность для компании (информация, персонал, услуги, оборудование, материалы, недвижимость и др.).

Взаимосвязанные аспекты ИБ

В настоящей статье представлены два логически взаимосвязанных понятийных аспекта ИБ. Рассмотренные с общесистемных позиций ключевые понятия и положения менеджмента и МИБ позволяют определить роль и место процесса обеспечения ИБ в общих границах менеджмента качества сложных систем. Анализ ISO/IEC IS 27001:2005 дает возможность говорить о конкретных понятиях и положениях реальных систем менеджмента И Б. Очевидно, что при реализации научных исследований необходимо опираться на общесистемные понятия менеджмента качества, а для инженера-практика гораздо важнее рекомендации стандарта ISO/IEC IS 27001:2005.

Статьи про теме