Управление информационной безопасностью (ISM)¶
- Содержание
- Управление информационной безопасностью (ISM)
- Введение
- Триада КДЦ: что мы защищаем
- Место СУИБ в системе управления организацией
- Цикл управления ИБ: PDCA
- Что должен включать процесс ISM
- Входы и выходы процесса ISM
- Ключевые показатели эффективности (KPI)
- Роли в управлении ИБ
- Типичные заблуждения
- Связь с другими темами курса
- Список литературы и стандартов
Введение¶
Представьте: в компании установлены межсетевые экраны, работает антивирус, настроен VPN.
Казалось бы, безопасность обеспечена. Но однажды сотрудник пересылает конфиденциальный отчёт на личную почту — просто потому что «так удобнее».
Никаких технических нарушений.
Полный провал безопасности.
Это классический пример ситуации, когда средства защиты есть, а управления ими — нет.
Именно поэтому информационная безопасность — это не набор инструментов, а непрерывный управленческий процесс.
Управление информационной безопасностью (ISM, СУИБ) — это совокупность процессов, посредством которых организация планирует, реализует, контролирует и совершенствует защиту своих информационных активов.
ISM охватывает не только IT-системы, но и бумажные документы, переговоры, телефонные звонки, физический доступ в здания — всё, где циркулирует информация организации.
Подробнее о разграничении понятий «обеспечение» и «управление» ИБ — см. страницу 0. Обеспечениеvs управление ИБ.
Триада КДЦ: что мы защищаем¶
В основе любой системы управления ИБ лежат три фундаментальных свойства информации.
! clipboard-202312041014-wpunw.png!
| Свойство | Определение | Нарушение |
|---|---|---|
| Конфиденциальность | Доступ к информации имеют только авторизованные субъекты | Утечка клиентской базы, перехват переписки |
| Целостность | Информация изменяется только авторизованными субъектами | Подмена платёжных реквизитов, правка логов |
| Доступность | Авторизованные субъекты могут получить доступ в нужный момент | DDoS-атака, сбой резервного копирования |
- информация доступна тогда, когда это требуется, а системы устойчивы к атакам или быстро восстанавливаются;
- информация доступна только тем, кто имеет соответствующие права;
- информация корректна, полна и защищена от неавторизованных изменений;
- обмен информацией с партнёрами и другими организациями надёжно защищён.
Подробнее об угрозах каждому из трёх свойств — см. страницу 2. Угрозы.
Место СУИБ в системе управления организацией¶
СУИБ не существует изолированно. Это специализированная область внутри общей системы
управления рисками предприятия.
Это означает: решения об уровне защиты, допустимых рисках и бюджете принимаются в диалоге с бизнес-руководством — исходя из стратегических целей организации, а не только из технических соображений.
Управление ИБ рассматривается на трёх уровнях:
| Уровень | Фокус | Примеры решений |
|---|---|---|
| Стратегический | Цели ИБ в контексте бизнес-стратегии | Утверждение политики ИБ советом директоров; бюджет; допустимый уровень риска |
| Тактический | Программы и проекты по ИБ | Внедрение СУИБ; выбор стандарта сертификации; план обработки рисков |
| Операционный | Ежедневные процессы и контроли | Мониторинг инцидентов; управление доступом; установка патчей; обучение |
Слабость на любом из уровней разрушает систему в целом.
Цикл управления ИБ: PDCA¶
Управление ИБ — это не разовый проект, а непрерывный итеративный процесс.
Его основу составляет цикл PDCA.
| Этап | Название | Содержание применительно к ИБ |
|---|---|---|
| Plan | Планировать | Установить контекст, оценить риски, определить цели, разработать меры защиты |
| Do | Выполнять | Реализовать выбранные контроли: технические, организационные, обучение персонала |
| Check | Проверять | Аудиты, мониторинг инцидентов, измерение эффективности мер |
| Act | Действовать | Корректирующие и предупреждающие действия, непрерывное улучшение СУИБ |
Именно эта архитектура лежит в основе стандарта ISO 27001.
Подробнее о построении СУИБ на основе этого цикла — см. страницу 6. Создание СУИБ.
Что должен включать процесс ISM¶
Политика информационной безопасности¶
Центральный документ ISM — Политика информационной безопасности (Security Policy) — система политик, процессов, стандартов, руководящих документов и средств, которые обеспечивают достижение целей управления ИБ.
Политика ИБ должна включать как минимум следующие частные политики:
- политика контроля доступа;
- политика использования паролей;
- политика электронной почты;
- политика использования интернета;
- политика антивирусной защиты;
- политика классификации информации и документов;
- политика удалённого доступа;
- политика доступа поставщиков к услугам, информации и компонентам;
- политика размещения активов.
Все политики должны быть доступны сотрудникам и подрядчикам, которые обязаны письменно подтвердить своё ознакомление с ними.
Политики утверждаются руководством и пересматриваются при значимых изменениях.
Структура корпоративной документации по ИБ (4 уровня) подробно рассмотрена на странице 7. Правовые меры .
Меры обеспечения безопасности¶
Для каждой стадии жизненного цикла инцидента применяются соответствующие меры:
| Тип меры | Когда применяется | Пример |
|---|---|---|
| Превентивные | До инцидента — предотвращение | Разграничение прав доступа, MFA |
| Обнаруживающие | Во время — выявление инцидента | Антивирус, IDS/IPS, SIEM |
| Подавляющие | Во время — противодействие | Блокировка карты после неверных PIN |
| Корректирующие | После — восстановление | Восстановление из резервной копии |
| Восстановительные | После — снижение ущерба | Откат системы, план DRP |
Технические меры (управление доступом, шифрование, протоколирование) подробно рассмотрены на страницах 9. Управление доступом и 10. Аудит и криптография.
Организационные меры — на странице 8. Организационные меры.
Правовые меры — на странице 7. Правовые меры.
Входы и выходы процесса ISM¶
Входы¶
- стратегии, планы и бюджет бизнеса, текущие и будущие требования к безопасности;
- политики безопасности бизнеса, планы безопасности, результаты анализа рисков;
- стратегия, планы и бюджет IT;
- информация об услугах: Портфель услуг, Каталог услуг, SLA/SLR;
- отчёты по рискам от смежных процессов (управление доступностью, непрерывностью);
- данные об инцидентах ИБ и выявленных уязвимостях;
- информация об изменениях в инфраструктуре и их влиянии на политики безопасности;
- информация о доступе партнёров и поставщиков к системам и услугам.
Выходы¶
- Политика информационной безопасности и поддерживающие политики;
- СУИБ (ISMS) — система со всей необходимой для ISM информацией;
- результаты переоценки рисков и отчёты по аудитам;
- реестр контролей безопасности с описанием их эксплуатации и связанных рисков;
- отчёты об инцидентах и выявленных уязвимостях;
- расписание тестирования планов ИБ;
- классификация информационных активов;
- политики и процедуры управления доступом поставщиков и партнёров.
Ключевые показатели эффективности (KPI)¶
| Область | Метрика |
|---|---|
| Защищённость бизнеса | % снижения обращений в Service Desk по инцидентам ИБ |
| Защищённость бизнеса | % снижения негативного влияния инцидентов на бизнес |
| Политика ИБ | Количество несоответствий между ISM и политиками безопасности бизнеса |
| Процедуры | % роста согласованности процедур обеспечения безопасности |
| Поддержка руководства | Уровень вовлечённости и поддержки со стороны руководства |
| Улучшение | Количество предложенных улучшений контролей и процедур |
| Охват | % услуг и процессов ITSM, в которых предусмотрены меры ИБ |
Роли в управлении ИБ¶
| Роль | Уровень | Ответственность |
|---|---|---|
| Совет директоров / Руководство | Стратегический | Утверждение политики ИБ; принятие остаточных рисков; бюджет |
| CISO (директор по ИБ) | Стратегический / тактический | Стратегия ИБ; управление программой; отчётность перед руководством |
| Владелец информационного актива | Тактический | Классификация и защита информации в своей зоне ответственности |
| IT-служба | Операционный | Реализация технических контролей; управление инфраструктурой |
| Все сотрудники | Операционный | Соблюдение политик ИБ; сообщение об инцидентах |
Важно: информационная безопасность — ответственность всей организации, а не только IT-отдела. CISO не может обеспечить безопасность, если сотрудники открывают фишинговые письма, а руководство не выделяет ресурсы.
Типичные заблуждения¶
| Заблуждение | Реальность |
|---|---|
| «ИБ — это про технологии» | Технологии — лишь один из инструментов. Большинство инцидентов — следствие организационных сбоев |
| «Купили дорогой NGFW — мы в безопасности» | Средства защиты без управления ими бесполезны |
| «ИБ — это разовый проект» | Угрозы меняются каждый день. ISM — непрерывный процесс |
| «За ИБ отвечает IT-отдел» | Владельцы активов — бизнес-подразделения. IT — исполнитель, не единственный владелец |
| «Обеспечение ИБ = управление ИБ» | Замок — не то же самое, что управляющий домом. См. 0. Обеспечение vs управление ИБ |
Связь с другими темами курса¶
- 0. Обеспечение vs управление ИБ — разграничение ключевых понятий
- 1. Основные понятия — основные понятия информационной безопасности
- 2. Угрозы — что конкретно угрожает информационным активам
- 3. Оценочные стандарты — инструменты оценки уровня защищённости (ISO 15408, «Оранжевая книга»)
- 4. Стандарты управления — ISO 27001/27002 как нормативная основа СУИБ
- 5. Управление рисками ИБ — методология принятия решений в ISM (ISO 27005)
- 6. Создание СУИБ — практическое построение системы управления
- 7. Правовые меры — законодательная база и корпоративная документация
- 8. Организационные меры — организационные контроли безопасности
- 9. Управление доступом — технические контроли: идентификация и аутентификация
- 10. Аудит и криптография — протоколирование, аудит, криптографические сервисы
- 11. Непрерывность бизнеса — BCP/DRP как элемент ISM
- 12. Безопасность в разработке — интеграция ИБ в жизненный цикл ПО
Список литературы и стандартов¶
- ISO/IEC 27000:2018 — Информационные технологии. Системы менеджмента ИБ. Обзор и словарь
- ISO/IEC 27001:2022 — Требования к системам управления информационной безопасностью
- ГОСТ Р ИСО/МЭК 27000-2021 — Информационные технологии. Системы менеджмента ИБ. Терминология
- Anderson R. — Security Engineering: A Guide to Building Dependable Distributed Systems. 3rd ed. Wiley, 2020
- Whitman M., Mattord H. — Management of Information Security. 6th ed. Cengage, 2021
Обновлено С. Антошкин 10 дня назад · 5 изменени(я, ий)