Стандарты информационной безопасности

Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.

Стандарты в области информационной безопасности выполняют следующие важнейшие функции:

- выработка понятийного аппарата и терминологии в области информационной безопасности

- формирование шкалы измерений уровня информационной безопасности

- согласованная оценка продуктов, обеспечивающих информационную безопасность

- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ

- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем

- функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.

Благодаря стандартам информационной безопасности:

Преимущества использования стандартов ИБ разными группами ИТ-сообщества

Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:

- повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;

- обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);

- содействие соблюдению требований технических регламентов;

- создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.

Основными областями стандартизации информационной безопасности являются:

· аудит информационной безопасности

· модели информационной безопасности

· методы и механизмы обеспечения информационной безопасности

· криптография

· безопасность межсетевых взаимодействий

· управление информационной безопасностью.

Стандарты информационной безопасности имеют несколько классификаций:

Различные классификации стандартов информационной безопасности

Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».

Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.

44. Далее рассмотрим применение оценки возможности (оценки зрелости) процессов для оценки ИБ организации.

В ISO/IEC 15504 [ 7 ] определена модель оценки зрелости, основу которой составляют идентифицированные атрибуты оцениваемых процессов, представляющие измеримые характеристики возможностей того или иного процесса, и методы их оценивания.

Стандартом определена следующая шкала рейтингов оценки процесса, определяющих степень достижения определенных значений для оцениваемого атрибута процесса:

– N — не достигнуто. Мало или нет свидетельств достижения определенным атрибутом оцениваемого процесса некоторого желаемого значения;

– P — частично достигнуто. Существуют некоторые свидетельства приближения к желаемому значению определенного атрибута оцениваемого процесса;

– L — в значительной степени достигнуто. Существуют свидетельства систематического приближения к определенному значению атрибута оцениваемого процесса. В оцениваемом процессе могут существовать некоторые слабые места, связанные с этим атрибутом;

– F — полностью достигнуто. Существуют свидетельства полного и систематического приближения к определенному значению атрибута оцениваемого процесса. Никаких слабых мест, связанных с этим атрибутом, в оцениваемом процессе не существует.

Фактически рассматриваются определенные показатели атрибутов процессов, которые ранжируются по 4-х уровневой шкале оценивания. Значения для оцениваемых параметров определены следующие:

– N — «не достигнуто — от 0 до 15%;

– P — «частично достигнуто» — от >15 до 50%;

– L — «в значительной степени достигнуто» — от >50 до 85%;

– F — «полностью достигнуто» — от >85 до 100%.

При этом любая интересующая задача, представленная в спецификации процессного подхода с выделенными атрибутами данного процесса и установленным методом измерения данных атрибутов, может быть далее оценена на основе следующей обобщенной модели зрелости (уровням возможностей — рейтингам) процесса как представлено в таблице 8

Таблица 8 — Модель зрелости процессов

Шкала	Атрибуты процесса	Рейтинг
Уровень 1	Функционирование процесса	В значительной степени или полностью
Уровень 2	Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта	Полностью В значительной степени или полностью В значительной степени или полностью
Уровень 3	Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта Формализация процесса Развертывание процесса	Полностью Полностью Полностью В значительной степени или полностью В значительной степени или полностью
Уровень 4	Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта Формализация процесса Развертывание процесса Количественная оценка процесса Контроль процесса	Полностью Полностью Полностью Полностью Полностью В значительной степени или полностью В значительной степени или полностью
Уровень 5	Функционирование процесса Менеджмент функционирования Менеджмент рабочего продукта Формализация процесса Развертывание процесса Количественная оценка процесса Контроль процесса Инновация процесса Оптимизация процесса	Полностью Полностью Полностью Полностью Полностью Полностью Полностью В значительной степени или полностью В значительной степени или полностью

Для целей определения рейтинга (уровня) зрелости процесса выделяются характеризующие его атрибуты, которые можно было бы измерить, по следующим позициям:

– функционирование процесса — процесс выполняется и формирует определенные результаты;

– менеджмент функционирования — процесс управляем в контексте его назначения и целей процесса;

– менеджмент рабочего продукта — осуществляется управление результатами процесса в части их содержания и потребностей использования;

– формализация процесса — имеется полная формальная модель процесса, и его реализация осуществляется в соответствии со спецификацией;

– развертывание процесса — реализацией процесса охвачены все вовлеченные стороны;

– количественная оценка процесса — определены и используются количественные метрики процесса;

– контроль процесса — процесс контролируется во всех составляющих его работах и операциях;

– инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;

– оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.

Для оценки ИБ на основе модели зрелости необходимы следующие два основных источника:

– требования к составу процессов менеджмента ИБ организации — требования стандарта ГОСТ Р 27001;

– эталонная модель зрелости процессов ИБ.

Для идентифицированных процессов обеспечения ИБ должны быть разработаны:

– описание каждого из процессов в терминах уровней зрелости эталонной модели;

– методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.

С учетом анализа содержания и семантики требований стандарта ГОСТ Р 27001 можно выделить следующие 17 процессов СМИБ организации:

– определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;

– анализ и оценка рисков ИБ, варианты обработки рисков ИБ;

– определение/уточнение политики для СМИБ организации;

– выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;

– принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;

– разработка плана обработки рисков ИБ;

– реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;

– реализация программ по обучению и осведомленности ИБ;

– обнаружение и реагирование на инциденты безопасности ИБ;

– мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;

– анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;

– внутренний аудит СМИБ;

– анализ СМИБ со стороны высшего руководства;

– реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;

– реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ. Использование опыта;

– информирование об изменениях и их согласование с заинтересованными сторонами;

– оценка достижения поставленных целей и потребностей в развитии СМИБ.

В [ 9 ] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.

Для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» СМИБ организации, определенной требованиями пунктами 4.2.1 c)÷f) ГОСТ Р 27001, описание модели его зрелости может быть определено следующим образом (приведем в качестве примера фрагменты описания нулевого, первого, третьего и пятого уровней зрелости процесса).

Модель зрелости.

0 уровень.

На данном уровне наблюдается полное отсутствие определенного процесса по анализу и оценке рисков ИБ.

Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанные с реализациями угроз ИБ, в спектре рисков организации не рассматриваются риски ИБ……..

1 уровень.

В организации существуют документально зафиксированные свидетельства осознания руководством существования проблем обеспечения ИБ. В частности, определена и документально зафиксирована область действия СМИБ.

Информационные активы определены, составлен перечень их уязвимостей и вероятности использования уязвимостей угрозами. Просчитан ущерб от возможной реализации угроз, а также определены оценки актуальности угроз.

Процесс анализа и оценки рисков как таковой нестандартизирован. Деятельности в рамках процесса оценки и анализа рисков применяются эпизодически и бессистемно. Создана, но не обновляется база инцидентов ИБ. Определены приоритеты рисков, но данные приоритеты учитывают не все инциденты ИБ. ……

3 уровень.

Существует политика организации, в которой определяется периодичность и область оценки рисков ИБ. Процесс оценки рисков документирован истандартизирован, суть процесса доводится до заинтересованного персонала посредством обучения базовым принципам безопасности, оценки и анализа рисков ИБ. Разработан план работ по оценке рисков. Методология оценки рисков с большой степенью вероятности гарантирует, что основные риски ИБ будут выявлены, поскольку результаты деятельности в рамках процесса по оценке и анализу рисков согласованы с соответствующими политиками, стандартами и/или процедурами…….

5 уровень.

Оценка рисков в организации доведена до уровня лучших практик по оценке и анализу риска. Выбранная стратегия оценки рисков непрерывно совершенствуется, ориентируясь на последние достижения в области ИБ, действующие международные стандарты и результаты сравнения с уровнем других организаций. Привлекаются сторонние сертифицированные эксперты для консультаций по вопросам рисков, оптимизации существующей системы сбора и анализа первичной информации для анализа рисков. Проводятся совещания по принципу «мозгового штурма» с целью выявить и проанализировать причины идентифицированных рисков. Система защитных мер строго скоординирована с приоритетами рисков и зависимостью «эффективность защитных мер — стоимость», комплексно используется установленная форма отчетности об эффективности защитных мер……….

По образу и подобию модель зрелости представляется для всех других процессов СМИБ организации.

Оценка уровня зрелости рассмотренного процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» СМИБ организации должна осуществлять на основе свидетельств выполненной деятельности по направлениям, соответствующим заявляемому или ожидаемому уровню зрелости. Например, для оценок на первый или третий уровень зрелости должны быть представлены свидетельства по следующим направлениям.

45.

46. Прежде всего, определяется так называемая шаблонная ¹⁾ модель зрелости. Она похожа на лесенку уровней CMM и выглядит так:

" 0. Несуществующий. Полное отсутствие каких-либо сформировавшихся процессов. Организация даже не подозревает, что здесь существует проблема, которую надо решать.

1. Начальный/Подходящий к случаю. Есть уверенность, что организация осознает наличие проблемы. Стандартных процессов тем не менее не существует; вместо этого применяются подходящие к случаю приемы, которые могут и повторяться. Общий подход к управлению не организован.

2. Повторяемый, но интуитивный. Процессы проработаны до такой степени, что разные люди используют похожие процедуры для решения одинаковых задач. Никакого обучения стандартным процедурам или обмена информацией не происходит, и ответственность за результат лежит на индивидууме. Зависимость от уровня знаний конкретного индивидуума велика, поэтому вероятны ошибки.

3. Определенный процесс. Процедуры стандартизованы, документированы, и информация о них распространяется через обучение. Применение процедур строго обязательно, однако маловероятно, что отклонения от этого порядка будут замечены. Процедуры сами по себе несложны и представляют собой формализацию существующих практик.

4. Управляемый и измеримый. Менеджмент следит и замеряет, насколько строго управление следует установленным процедурам и предпринимает определенные действия, если процессы работают с низкой результативностью. Процессы постоянно улучшаются, воплощая в себе признанные (good) практики. Автоматизированные средства управления используются ограниченно или фрагментарно.

5. Оптимизируемый. Процессы закончены и отражают признанные практики, полученные в результате непрерывного улучшения и сравнения с моделями зрелости других организаций. ИТ используются как интегрированный инструмент автоматизации потока работ и предоставляют средства повышения качества и результативности, что повышает гибкость организации в целом".

COBIT использует шаблонную модель не для описания зрелости организации, как это делается в СММ, а для характеристики отдельного процесса. При построении модели зрелости процесса рекомендуется добавить к шаблонной модели следующие дополнительные свойства, характеризующие процесс:

· ознакомленность и коммуникации;

· политики, планы, процедуры;

· инструменты и средства автоматизации;

· навыки и экспертиза;

· ответственность и подотчетность;

· постановка целей и измерения.

То, насколько полно реализовано каждое свойство, определяет уровень зрелости процесса.

Этот подход радикально отличается от подходов СММ/ CMMI (см. "Лекция 7. Зрелость проектных организаций. Методология CMM ") и методологии SPICE (см. "Лекция 8. Практическое использование CMM. Проект SPICE ". Использование "лесенки уровней" для отдельного процесса делает принципиально невозможным переход от оценки процесса к оценке организации: единственным объектом оценки является изолированный процесс.

COBIT рассматривает зрелость процесса (здесь не используется термин "развитость" применительно к процессу) в трех аспектах, показанных на рис. 15.6. Смысл этого рисунка в том, что при построении модели зрелости конкретного процесса (т. е. при наполнении конкретным содержанием описаний уровней шаблона) нужно явно учитывать три характеристики процесса. Во-первых, это потенциальные возможности системы управления процессом (capability), которые обеспечивают соответствие поставленным целям ИТ. Во-вторых, это то, до какой степени желательно развивать процесс (это называется coverage), если ожидаемый возврат инвестиций может быть обеспечен еще до достижения высокого уровня зрелости (а начиная с этого уровня возврат инвестиций падает). И наконец, в-третьих, это специальные средства управления, которые могут понадобиться для минимизации рисков и обеспечения соответствия внешним требованиям.

Рис. 15.6. Три измерения зрелости процесса

Взгляд на зрелость процесса, когда рассматриваются не просто управленческие характеристики процесса ("общие практики" в терминологии CMMI), а разные содержательные аспекты этих характеристик, является оригинальным и перспективным, хотя никаких конструктивных способов построения модели зрелости процесса COBIT не дает. Модель зрелости процесса "Разработка стратегического плана развития ИТ" выглядит так.

" PO1. Разработать стратегический ИТ-план

Управление процессом Разработать стратегический ИТ-план, которое удовлетворяет требованиям к ИТ со стороны бизнеса, состоящим в том, что ИТ должны поддерживать или расширять стратегию бизнеса и требования со стороны корпоративного управления и быть прозрачными в том, что касается выгод, затрат и рисков, характеризуется как находящееся на уровне:

0. Несуществующий, когда

стратегическое планирование ИТ не выполняется. Менеджмент не осознает того, что стратегическое планирование ИТ необходимо для поддержки целей бизнеса.

1. Начальный/Подходящий к случаю, когда

необходимость стратегического планирования ИТ осознается руководством ИТ. Планирование выполняется по мере необходимости в ответ на конкретное требование со стороны бизнеса. Проблема стратегического планирования ИТ время от времени обсуждается на совещаниях руководства ИТ.

2. Повторяемый, но интуитивный, когда

руководство бизнеса участвует в стратегическом планировании ИТ только по необходимости. Обновление ИТ-планов выполняется по запросу менеджмента. Стратегические решения принимаются по итогам отдельных проектов вне зависимости от стратегии организации в целом. Риски и выгоды, связанные с основными стратегическими решениями, осознаются на интуитивном уровне.

3. Определенный, когда

существует политика, определяющая, когда и как выполняется стратегическое планирование ИТ. Стратегическое планирование ИТ использует документированный структурированный подход, известный всему персоналу. Процесс планирования ИТ достаточно рационален и обеспечивает приемлемый уровень планирования. При выполнении процесса, однако, решающее слово остается за конкретным менеджером; процедуры контроля за ходом процесса отсутствуют. Корпоративная стратегия ИТ содержит последовательное описание рисков, которые возникают при инновационном или консервативном поведении организации. Финансовый, технический и кадровый аспекты стратегии ИТ все больше влияют на приобретение новых продуктов и технологий. Проблема стратегического планирования ИТ обсуждается на совещаниях руководства организации.

4. Управляемый и измеримый, когда

стратегическое планирование ИТ является стандартной практикой, и исключения из нее фиксируются менеджментом. Стратегическое планирование ИТ - определенная управленческая функция, за которую отвечает старший менеджмент. Руководство имеет возможность мониторить процесс стратегического планирования ИТ, принимать обоснованные решения и оценивать результативность процесса. Краткосрочное и долгосрочное планирование ИТ выполняется на всех уровнях организационной иерархии; при необходимости планы обновляются. Стратегия ИТ и корпоративная стратегия становятся все более и более скоординированными, за счет того, что включают бизнес-процессы, свойства системы управления, увеличивающие ценность, используют преимущества технологий и автоматизированных систем при реинжиниринге бизнес-процессов. Существует вполне определенный процесс, определяющий порядок использования внутренних и внешних ресурсов, необходимых при разработке и эксплуатации систем.

5. Оптимизируемый, когда

стратегическое планирование ИТ - документированный и постоянно выполняющийся процесс, который принимается во внимание при выработке целей бизнеса и генерирует реальную ценность для бизнеса за счет инвестиций в ИТ. Аспекты стратегии ИТ, связанные с рисками и ценностью для бизнеса, постоянно обновляются. Разрабатываются реалистические долгосрочные планы ИТ, которые постоянно обновляются, отражая происходящие технологические изменения и достижения в бизнесе. Процесс разработки стратегии включает сравнение с общепризнанными и надежными индустриальными нормами. Стратегический план включает описание того, как новые технологические достижения могут стимулировать создание новых возможностей для бизнеса и повысить конкурентоспособность организации".

На вопрос о том, насколько эта модель соответствует структуре, показанной на рис. 15.6, нельзя дать прямого ответа, но не стоит забывать, что приведенная модель зрелости, как и все разделы описания процессов, имеет иллюстративный характер. Важно другое.

Шаблонная модель зрелости COBIT на самом деле лишь внешне напоминает модели зрелости и развитости процессов, рассмотренные ранее. Прежде всего, в ней нет "производственного процесса организации" (CMM) или "множества стандартных процессов" (CMMI). "Определенный" уровень COBIT не предполагает, что процесс проекта "выкраивается" из стандартного процесса. Вместо стандартного процесса появились общие "процедуры", применение которых обязательно, но не контролируется. Смысл такой замены непонятен.

Но самое главное отличие состоит в том, что из-за локальности моделей зрелости, каждая из которых относится к одному-единственному процессу, и отсутствия общих практик, т. е. характеристик управления, не зависящих от процессов, а характеризующих организацию в целом, нельзя утверждать, что, скажем, уровень "Определенный" одного процесса сопоставим с таким же уровнем другого. Поскольку определение уровня процесса локально, ничто не мешает у разных процессов одинаково назвать уровни с совершенно разными требованиями к системе управления. Другими словами, уровни разных процессов принципиально несравнимы, т. е. понятие уровня как характеристики системы управления организации отсутствует. Это полностью меняет концепцию, заложенную в CMM / CMMI / SPICE, не давая при этом никаких видимых преимуществ.

Наконец, из-за привязанности моделей зрелости к процессам возникают неявные связи между процессами, зависящие от того, на каком уровне находятся разные процессы. Например, процесс-реципиент некоторого выхода может оказаться отсутствующим (уровень 0). В этом случае, очевидно, и процесс - источник выхода не может находиться на высоком уровне зрелости. Такие зависимости (принципиально отсутствующие в СММ), усложняют модель зрелости, ничем не компенсируя это усложнение.

COBIT. Заключение

Если собрать воедино все соображения, приведенные выше, получается следующая картина. Вся методология COBIT в том виде, как она изложена в (COBIT, 2007), представляет собой набор достаточно абстрактных правдоподобных рассуждений и положений, не содержащий практически ничего оригинального (с небольшими исключениями) и изложенный в непривычной и неоправданно, на мой взгляд, усложненной системе понятий. Этот набор понятий иллюстрируется достаточно объемным формальным описанием модели процессов, которая служит не для непосредственного практического применения, а только как образец того, как следует строить подобную модель на практике. Связь между набором абстрактных понятий и приведенной моделью описана неформально, на интуитивном уровне. При разработке конкретной модели процессов решение вопроса о том, соответствует конкретный процесс приведенным в COBIT общим соображениям или нет, остается на усмотрение автора модели.

В таком случае роль COBIT сводится лишь к тому, чтобы служить своего рода "общим языком" для тех, кто вовлечен в процесс создания и обсуждения модели. Я не могу назвать этот язык ни строгим, ни удобным, ни интуитивно понятным. Задача "внедрения" COBIT, таким образом, состоит лишь в обучении этому языку; все дальнейшие управленческие решения, их осмысленность, качество, эффективность и т. д. не имеют к COBIT никакого отношения.