В. Андрианов - Обеспечение информационной безопасности бизнеса
В общем случае этап планирования СМИБ в соответствии с требованиями стандарта [11] может включать следующие 10 шагов, представленных в таблице 2, реальное наполнение которых определяется самой организацией.
Таблица 2
Графически данные шаги иллюстрирует рис. 31.
В структуре цикла Деминга результирующие сущности шагов этапа менеджмента «Планирование» иллюстрирует рис. 32.
Фактически представленные на рис. 31 и 32 шаги этапа планирования СМИБ преследуют цель принятие решения организацией по следующим трем основным вопросам:
— установление сферы применения и политики системы менеджмента информационной безопасности (шаги 1 и 2);
— выбор защитных мер на основе менеджмента риска (шаги 3–7);
— получение одобрения руководства для мер обработки рисков и подготовка формулировки применимости требований из каталога требований стандарта, так как это влечет организационные и, возможно, финансовые издержки компании (шаги 8-10).
При установлении сферы применения и политики системы менеджмента информационной безопасности должны рассматриваться:
— вопроса бизнеса;
— организационные аспекты;
— местоположение (географическое и физическое);
— активы;
— технологии.
Результаты определения применимой сферы действия СМИБ оказывают существенное влияние на объемы работ, которые необходимо будет выполнить при установлении системы менеджмента информационной безопасности. Приведенный ниже рис. 33 показывает общие задачи, связанные с определением применимой сферы действия СМИБ, и сопутствующие элементы.
Политика системы менеджмента информационной безопасности должна закрепить основные концепции менеджмента информационной безопасности в организации. Документы политики (структурно это может включать неограниченное число физически отдельных документов) также могут служить в качестве декларации намерений организации, отражающей то, что организация понимает и несет ответственность за требования информационной безопасности. Это бывает критичным для целей внешнего финансового аудита, если ценные бумаги организации претендуют или представлены на финансовых рынках. Содержание политики системы менеджмента информационной безопасности должно соответствовать политикам бизнеса и принципам и стилю корпоративного управления, устанавливающее основные задачи и цели организации, а также моральные нормы и принципы. Поэтому политики должны формулировать общую базисную точку информационной безопасности и содержать руководства к действию персонала компании, включая операционное руководство (см. рис. 29).
Шаги по установлению политики системы менеджмента информационной безопасности иллюстрирует рис. 34.
Содержательно вопросы определения политики системы менеджмента информационной безопасности преследуют следующие три основные цели:
— подготовка документов политики системы менеджмента информационной безопасности;
— установление организационной структуры системы менеджмента информационной безопасности;
— получение одобрения руководства (санкционирование работ по модернизации).
На основе информации, собранной в «Определении сферы действия системы менеджмента информационной безопасности» и «Установлении политики системы менеджмента информационной безопасности» определяются структуры и цели задач в соответствии с характеристиками организации и требованиями безопасности.
Это формирует основу для принятия решений о подходе к оценке риска. Нижеследующий рис. 35 иллюстрирует основное содержание данного шага работ.
В основе методологии стандартной СМИБ лежит риск-ориентированный подход. Он основывается на предположении того, что оценка риска делает возможным понимание следующих вопросов, связанных с информационными активами, которыми владеет организация:
— каковы актуальные угрозы и их источники — факторы риска;
— как часто возможно возникновение угроз;
— сколько и какие информационные активы могут подвергнуться влиянию при возникновении угрозы.
В задаче «Оценка риска» выполняется анализ риска (анализ и прогноз возможных ситуаций, выключая перебор возможных комбинаций: фактор риска, уязвимость актива, негативные последствия) и далее осуществляется соотнесение результатов анализа с некоторым виртуальным уровнем (порогом), что и составляет еще одну операцию — «Оценивание риска».
В науке о безопасности, как правило, выделяется следующие четыре подхода в качестве методов оценки риска.
Базовый подход. Заранее устанавливается определенный уровень безопасности, который должен обеспечиваться, выбираются необходимые для реализации меры и единообразно применяются к каждой рассматриваемой системе.
Неформальный подход. Риски оцениваются на основе имеющегося опыта и суждений специалистов организации или ответственных сотрудников.
Подробный анализ риска. Осуществляется детальная оценка риска путем идентификации и оценивания «ценности активов», «факторов риска», «уязвимостей» и требований безопасности для каждого информационного актива или однородной группы информационных активов.
Комбинированный подход. Используется комбинация вышеперечисленных подходов с целью дополнения недостатков одного подхода преимуществами другого, что должно привести к большей эффективности и точности анализа и оценки.
Любой из указанных подходов в итоге сводится к сравнению с порогом (это самый деликатный и философский объект), что в итоге должно позволить понять, следует ли что-то предпринять или в этом нет необходимости.
Рис. 36 иллюстрирует ситуацию отклонения между реальным измеренным уровнем риска и «требуемым гарантированным уровнем», устанавливаемым организацией для каждого информационного актива. Хотя требуемый гарантированный уровень, показанный на рис. 36, выражен как единый требуемый гарантированный уровень, на практике он может быть неоднородным по своему характеру, а устанавливаться для каждого информационного актива на основе атрибутов и свойств данного информационного актива и его значимости для организации.
Что касается комбинированного подхода, то он, как правило, сочетает базовый подход с подробным анализом риска, что в итоге признано наиболее эффективной стратегией. Однако определение того, какой подход должен использоваться в определенной ситуации, является нелегкой задачей. Решение о наилучшем подходе зависит от требований безопасности для информационных активов (таких как требования бизнеса, правовые и регулятивные требования и договорные обязательства, касающиеся безопасности, и т. д.).
