Управление информационной безопасностью. Стандарты СУИБ (СИ) - Гребенников Вадим Викторович
3.4. Важность СУИБ
Организации следует определить риски, связанные с информационными активами. Достижение ИБ требует управления риском и охватывает риски физические, человеческие и технологические, относящиеся к угрозам, касающимся всех форм информации внутри организации или используемой организацией.
Принятие СУИБ является стратегическим решением для организации, и необходимо, чтобы это решение постоянно интегрировалось, оценивалось и обновлялось в соответствии с потребностями организации.
На разработку и реализацию СУИБ организации влияют потребности и цели организации, требования безопасности, используемые бизнес-процессы, а также размер и структура организации. Разработка и функционирование СУИБ должны отражать интересы и требования ИБ всех заинтересованных лиц организации, включая клиентов, поставщиков, бизнес-партнеров, акционеров и других третьих сторон.
Во взаимосвязанном мире информация и относящиеся к ней процессы, системы и сети составляют критичные активы. Организации и их ИС и сети сталкиваются с угрозами безопасности из широкого диапазона источников, включая компьютерное мошенничество, шпионаж, саботаж, вандализм, а также пожар и наводнение. Повреждения ИС и систем, вызванные вредоносным ПО, действиями хакеров и DoS-атаками, стали более распространенными, более масштабными и более изощренными.
СУИБ важна для предприятий как государственного, так приватного сектора. В любой отрасли СУИБ является необходимым инструментом для поддержания электронного бизнеса и важна для действий по управлению риском. Взаимосвязь общедоступных и приватных сетей и обмен информационными активами усложняют управления доступом к информации и ее обработку.
Кроме того, распространение мобильных устройств хранения данных, содержащих информационные активы, может ослабить эффективность традиционных мер защиты. Когда организации принимают семейство стандартов СУИБ, способность применения последовательных и взаимоузнаваемых принципов ИБ можно продемонстрировать бизнес-партнерам и другим заинтересованным сторонам.
ИБ не всегда учитывается при создании и разработке ИС. Кроме того, часто считается, что ИБ – это техническая проблема. Однако ИБ, которая может быть достигнута с помощью технических средств, ограничена и может быть неэффективной, не будучи поддержанной соответствующим управлением и процедурами в контексте СУИБ. Встраивание системы безопасности в функционально завершенную ИС может быть сложным и дорогостоящим.
СУИБ включает в себя идентификацию имеющихся мер защиты и требует тщательного планирования и внимания к деталям. Например, меры разграничения доступа, которые могут быть техническими (логическими), физическими, административными (управленческими), или их комбинацией, гарантируют, что доступ к информационным активам санкционируется и ограничивается на основании требований бизнеса и ИБ.
Успешное применение СУИБ важно для защиты информационных активов, поскольку позволяет:
– повысить гарантии того, что информационные активы адекватно защищены на непрерывной основе от угроз ИБ;
– поддерживать структурированную и всестороннюю систему оценки угроз ИБ, выбора и применения соответствующих мер защиты, измерения и улучшения их эффективности;
– постоянно улучшать среду управления организации;
– эффективно соответствовать правовым и нормативным требованиям.
3.5. Внедрение, контроль, сопровождение и улучшение СУИБ
Внедрение, контроль, сопровождение и улучшение СУИБ являются оперативными этапами развития СУИБ.
Оперативные этапы СУИБ определяют следующие составляющие:
– общие положения;
– требования ИБ;
– решающие факторы успеха СУИБ.
Оперативные этапы СУИБ обеспечивают следующие мероприятия:
– оценка рисков ИБ;
– обработка рисков ИБ;
– выбор и внедрение мер защиты;
– контроль и сопровождение СУИБ;
– постоянное улучшение.
Общие положения
Организация должна предпринимать следующие шаги по внедрению, контролю, сопровождению и улучшению ее СУИБ:
– определение информационных активов и связанных с ними требований ИБ;
– оценка и обработка рисков ИБ;
– выбор и внедрение соответствующих мер защиты для управления неприемлемыми рисками;
– контроль, сопровождение и повышение эффективности мер защиты, связанных с информационными активами организации.
Для гарантии того, что СУИБ эффективно защищает информационные активы организации на постоянной основе, необходимо постоянно повторять все шаги, чтобы выявлять изменения рисков или стратегии организации или бизнес-целей.
Требования ИБ
В пределах общей стратегии и бизнес-целей организации, ее размера и географического распространения требования ИБ могут быть определены в результате понимания:
– информационных активов и их ценности;
– бизнес-потребностей в работе с информацией;
– правовых, нормативных и договорных требований.
Проведение методической оценки рисков, связанных с информационными активами организации, включает в себя анализ:
– угроз активам;
– уязвимостей активов;
– вероятности материализации угрозы;
– возможного влияния инцидента ИБ на активы.
Расходы на соответствующие меры защиты должны быть пропорциональны предполагаемому бизнес-влиянию от материализации риска.
Оценка рисков ИБ
Управление рисками ИБ требует соответствующего метода оценки и обработки риска, который может включать оценку затрат и преимуществ, правовых требований, проблем заинтересованных сторон, и других входных и переменных данных.
Оценки риска должны идентифицировать, измерить и установить приоритеты для рисков с учетом критерия принятия риска и целей организации. Результаты помогут выработать и принять соответствующие управленческие решения для действия и установления приоритетов по управлению рисками ИБ и внедрению мер защиты, выбранных для защиты от этих рисков.
Оценка риска должна включать систематический подход к оценке масштаба рисков (анализ риска) и процесс сравнения оцененных рисков с критерием риска для определения серьезности рисков (оценивание риска).
Оценки риска должны осуществляться периодически, чтобы вносить изменения в требования ИБ и ситуации риска, например, в активы, угрозы, уязвимости, влияния, оценивание риска, и в случае значительных изменений. Эти оценки риска должны осуществляться методично, чтобы обеспечить сопоставимые и воспроизводимые результаты.
Оценка риска ИБ должна четко определять сферу применения, чтобы быть эффективной, и содержать взаимодействия с оценками риска в других сферах, по возможности.
Стандарт ISO/IEC 27005 представляет руководство по управлению рисками ИБ, включая рекомендации по оценке, обработке, принятию, оповещению, мониторингу и анализу риска.
Обработка рисков ИБ
Перед рассмотрением обработки риска организации следует установить критерий для определения, можно принять риски или нет. Риски можно принять, если риск низкий или цена обработки не рентабельна для организации. Такие решения должны быть записаны.
Для каждого риска, определенного оценкой риска, следует принять решение о его обработке. Возможные варианты обработки риска включают:
– применение соответствующих мер защиты для снижения рисков;
– осознанное и объективное принятие рисков в строгом соответствии с политикой организации и критерием принятия риска;
– предотвращение рисков путем исключения действий, приводящих к появлению рисков;
– обмен связанными рисками с другими сторонами, например, страховщиками или поставщиками.
Соответствующие меры защиты от тех рисков, для которых принято решение об их применении с целью обработки рисков, дожны быть выбраны и внедрены.
Выбор и внедрение мер защиты
После определения требований к ИБ, определения и оценки рисков ИБ для информационных активов и принятия решений по обработке рисков ИБ должны быть выбраны и внедрены соответствующие меры защиты для снижения рисков.