ноябрь    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30

показать все 

14.11.2024

Обновление BI.ZONE Secure DNS: гибкая настройка фильтрации и максимальная скорость

Читать далее 

14.11.2024

RED Security: в октябре количество DDoS-атак на ТЭК выросло в 3 раза

Читать далее 

14.11.2024

Falcongaze представила новую версию DLP-системы — SecureTower 7 Helium

Читать далее 

14.11.2024

ИСП РАН покажет результаты 30-ти лет работы на Открытой конференции в Москве

Читать далее 

08.11.2024

Юбилейная конференция ЭОС: ЭОС: 30 лет лидерства на рынке автоматизации документооборота и обсуждение актуальных трендов

Читать далее 

показать все 

22.11.2024

Тандем технологий – драйвер инноваций.

Читать далее 

21.11.2024

ИИ: маршрут не построен, но уже проектируется

Читать далее 

18.11.2024

Глеб Шкрябин: «Надежные и масштабируемые системы — основа стабильной работы бизнеса в условиях больших нагрузок»

Читать далее 

14.10.2024

Елена Ситдикова: «На разработчиках программного обеспечения для транспорта лежит большая ответственность перед пассажирами»

Читать далее 

11.10.2024

Технологический ИИ-арсенал

Читать далее 

13.06.2024

Взгляд в перспективу: что будет двигать отрасль информационной безопасности

Читать далее 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №1 (24) / Управление процессами ИБ. Автоматизация учета и классификации активов компании

Рубрика: Тема номера /  Технологии безопасности

Олег Марков и Иван Черников, руководитель группы разработки ООО «Газинформсервис», к.т.н., доцент и ведущий инженер группы разработки ООО «Газинформсервис»

Управление процессами ИБ
Автоматизация учета и классификации активов компании

О важности и необходимости внедрения в организациях системы управления информационной безопасностью (СУИБ) на основе процессного подхода уже говорилось и писалось неоднократно, в Интернете можно найти многочисленные материалы, посвященные этой теме. В данной статье речь пойдет об одном из процессов менеджмента информационной безопасности – идентификация и классификация активов компании – и практических аспектах автоматизации этого процесса

С точки зрения целевого назначения процессы ИБ классифицируются на процессы обеспечения и процессы управления. Процессы обеспечения ИБ предназначены для реализации непосредственных организационных и технических функций защиты активов компании (технических средств, программного обеспечения и информационных активов). Процессы управления ИБ предназначены для реализации управляющих действий в отношении системы обеспечения ИБ (СОИБ).

Среди основных процессов управления информационной безопасностью можно выделить следующие:

• поддержание в актуальном состоянии документационного обеспечения ИБ;
• идентификация и классификация активов компании (объектов защиты);
• оценка рисков ИБ;
• работа с персоналом по вопросам ИБ;
• управление инцидентами ИБ;
• оценка соответствия требованиям собственных политик ИБ и требованиям регуляторов в области ИБ и др.

Необходимо акцентировать внимание на том, что обеспечение информационной безопасности компании – это не разовая акция, а непрерывная деятельность по планированию, реализации, измерению и совершенствованию процессов обеспечения и управления ИБ. Внедрение процессного подхода к управлению информационной безопасностью в условиях ограниченного штата подразделений ИБ осложняет создание, внедрение и поддержку СУИБ, особенно для крупных компаний.

В частности, представляются затруднительными осуществление и поддержка в актуальном состоянии результатов классификации объектов защиты и оценки рисков ИБ без средств автоматизации, учитывая сложность информационной инфраструктуры, большое количество прикладных систем, где обрабатывается информация ограниченного доступа, обширный перечень критичных активов, подлежащих защите. Или же, например, внедрение и функционирование СУИБ сучетом процессного подхода требует обращения внутри системы значительного объема документов. Указанные особенности обуславливают необходимость использования средств автоматизации для поддержки процессов управления ИБ.

ООО «Газинформсервис» в качестве технического решения предлагает Систему автоматизации процессов управления информационной безопасностью (САПУИБ), которая позволит:

• внедрить и автоматизировать процессный подход к управлению ИБ с учетом специфики компании;
• осуществлять сбор и анализ информации по вопросам ИБ в единой системе (как ручной ввод, так и импорт данных из смежных систем);
• обеспечить информационно-технологическую поддержку деятельности сотрудников подразделений ИБ и ИТ.

САПУИБ реализована на основе платформы RSA Archer eGRC. RSA Archer eGRC является лидером мирового рынка в классе IT-GRC and Enterprise GRC систем.

САПУИБ обеспечивает возможность развертывания территориально-распределенной системы, адаптацию под требования заказчика и функциональную расширяемость в случае необходимости. Система строится на модульном принципе. Состав модулей соответствует основным процессам управления информационной безопасностью:

• модуль «Документационное обеспечение»
• модуль «Учет и классификация объектов защиты»;
• модуль «Работа с персоналом и третьими сторонами по вопросам ИБ»;
• модуль «Управление рисками ИБ»;
• модуль «Управление инцидентами ИБ»;
• модуль «Контроль соответствия требованиям ИБ».

Остановимся более подробно на модуле «Учет и классификация объектов защиты» (УКОЗ). Это один из важнейших модулей системы, именно в нем концентрируются данные обо всех активах компании, определяется их критичность, степень влияния на бизнес-процессы компании, осуществляется формирование паспортов информационных систем (см. рис. 1) – в дальнейшем эти данные используются в модулях «Управление рисками ИБ», «Управление инцидентами ИБ» и «Контроль соответствия требованиям ИБ».

Рисунок 1. Главное окно модуля «Учет и классификация объектов защиты»

В рассматриваемой версии модуля УКОЗ учитывались требования СТО Газпром 4.2-3-004-2009 «Классификация объектов защиты». При его реализации также могут использоваться другие методические документы, например:

• ISO/IEC 27005:2011 Information security risk management;
• Specification for Asset Identification 1.1 (NIST Interagency Report 7693).

Модуль УКОЗ достаточно емкий по своему функциональному назначению. В рамках данной статьи рассмотрим наиболее важные его функции:

• формирование справочников активов компании (перечень объектов защиты);
• интеграция с системами инвентаризации;
• формирование паспортов информационных систем и сервисов (ИСиС);
• оценка критичности объектов защиты (ОЗ);
• классификация ОЗ и передача их в модуль «Управление рисками».

Идентификация объектов защиты

Рассмотрим подход к идентификации и формированию перечня ОЗ, предложенный в данном документе. После определения области внедрения СУИБ в компании и выявления входящих в область внедрения СУИБ бизнес-процессов необходимо определить информационные системы и сервисы, которые участвуют в реализации и поддержке этих бизнес-процессов (см. рис. 2). Для каждой ИСиС формируется перечень объектов защиты (паспорт ИСиС), входящих в ее состав.

Рисунок 2. Взаимосвязь бизнес-процессов и объектов защиты

Объекты защиты распределяются по следующим типам:

• информационные активы (ИА) – файлы, директории, массивы, базы данных, печатные документы;
• программное обеспечение (ПО) – системное ПО, прикладное ПО, инструментальное ПО;
• технические средства (ТС) – средства вычислительной техники, активное сетевое оборудование, носители информации и т. д.

В модуле УКОЗ САПУИБ для формирования перечня объектов защиты существуют справочники по типам ОЗ с возможностью установления связи между ОЗ ТС и ПО, ПО и ИА. В системе реализовано ролевое разграничение доступа кданным, в частности, для процедуры идентификации ОЗ введены роли ответственных за формирование паспортов ИСиС, предоставляющие работникам необходимые права доступа к записям справочников ОЗ и паспортов ИСиС.

Заполнение справочников ОЗ осуществляется как в ручном режиме, так и в автоматизированном посредством импорта данных в САПУИБ с использованием встроенных механизмов платформы RSA Archer eGRC. В качестве источника инвентаризационных данных в автоматизированном режиме могут использоваться, например, следующие системы:

• системы инвентаризации;
• системы контроля защищенности;
• системы предотвращения утечек информации ограниченного доступа (с возможностью идентификации размещения информации).

Использование функциональности системы контроля защищенности (например, системы MaxPatrol) позволяет выполнять задачи инвентаризации, формировать перечень ОЗ, импортировать их в САПУИБ и в дальнейшем проводить необходимые действия с ОЗ в интересах ИБ (идентификацию уязвимостей, проверку соответствия стандартам ИБ и др.).

Кроме того, система MaxPatrol является источником для формирования единых идентификаторов ОЗ (которые могут быть скорректированы/дополнены в САПУИБ). Единый идентификатор ОЗ – это составной параметр, который формируется из инвентаризационных данных системы MaxPatrol и однозначно идентифицирует объекты защиты.

Например, для формирования единого идентификатора могут использоваться следующие параметры:

• для ТС – наименование ТС, серийный номер материнской платы;
• системного ПО – наименование ПО, хост-имя (IP-адрес).

Ручное заполнение справочников ОЗ требуется в случае корректировки или внесения дополнительных данных, необходимых для процедуры определения критичности ОЗ:

• сведения о собственниках, владельцах и администраторах;
• время восстановления работоспособности ОЗ, обеспечиваемое отделом ИТ;
• стоимость ТС и др.

Результаты формирования паспортов ИСиС (см. рис. 3) должны быть утверждены руководством (например, начальником отдела ИТ) перед началом процедуры оценки критичности ОЗ. Внесение изменений в утвержденные паспорта ИСиС ограничено и отслеживается встроенными механизмами САПУИБ (уведомления на e-mail).

Рисунок 3. Фрагмент паспорта ИСиС

Оценка критичности объектов защиты

Для каждого идентифицированного ОЗ выявляется уровень его критичности (например, максимальный, средний и минимальный). В первую очередь определяется критичность ИА как информационного ресурса, непосредственно влияющего на непрерывность бизнес-процессов компании. Данную процедуру выполняют работники компании (владельцы ОЗ, работники подразделений ИБ и ИТ, начальники подразделений и иные заинтересованные лица).

Определение критичности ИА должно быть выполнено для каждого свойства ИА, нарушение которого критично (например, конфиденциальность, целостность, доступность). Нарушение свойства ИА считается критичным в случае, если это приводит к наступлению негативных последствий для компании в результате нарушений хотя бы по одному из следующих направлений:

• требования государственных нормативно-правовых актов;
• требования контрактных обязательств;
• требования действующих в компании нормативных и организационно-распорядительных документов, заключенных договоров;
• требования непрерывности бизнес-процессов.

В САПУИБ уже сформированы опросные листы, которые позволяют с помощью ролевого разграничения доступа производить процедуру определения критичности заинтересованными лицами в части их ответственности. В опросных листах содержатся вопросы, которые интерпретируют термины ИБ в понятные владельцам ИА определения, а также приведены ситуативные примеры. При необходимости опросные листы могут быть скорректированы (изменена структура, добавлены новые/изменены существующие вопросы, изменена логика расчета итоговой критичности).

По результатам заполнения опросных листов владельцами ИА формируется набор данных для определения критичности ПО и ТС, например, целевое время восстановления ИСиС. В определении критичности ПО и ТС принимают участие работники подразделений ИБ и ИТ, которые принимают решение об уровне критичности с учетом:

• данных о критичности зависимых ОЗ (критичность ПО зависит от критичности ИА, критичность ТС зависит от критичности ПО);
• сравнения значения целевого времени восстановления ИСиС с суммарным временем восстановления работоспособности всех ОЗ, входящих в ИСиС;
• стоимости ТС.

Классификация объектов защиты

Исходя из полученного уровня критичности ОЗ относят к одной из групп:

• ОЗ максимального уровня критичности;
• ОЗ среднего уровня критичности;
• ОЗ минимального уровня критичности.

Результаты разделения ОЗ на группы используются при формировании требований по обеспечению информационной безопасности, например, следующим образом:

• для ИСиС, в состав которой входит хотя бы один ОЗ с максимальным уровнем критичности, формирование требований по ИБ должны осуществляться после проведения детальной оценки рисков ИБ с обязательным выполнением базовых требований по ИБ;
• для иных ИСиС должны быть выполнены только базовые требования по ИБ.

***

В результате проведения идентификации и классификации ОЗ с использованием САПУИБ формируется перечень ОЗ и ИСиС, определяется критичность ОЗ с учетом их влияния на бизнес-процессы компании. Эффективность автоматизации процесса идентификации и классификации обусловлена:

• обеспечением оперативной поддержки в актуальном состоянии информации об ОЗ в условиях ограниченного штата сотрудников и большого количества учетных объектов;
• применением единых идентификаторов ОЗ в САПУИБ, позволяющих использовать данные для реализации других процессов управления ИБ (управление рисками ИБ, управление инцидентами ИБ, контроль соответствия требованиямпо ИБ) и создать единую информационную среду для взаимодействия со смежными системами;

Внедрение САПУИБ повысит прозрачность и эффективность деятельности подразделений ИБ и ИТ в интересах бизнеса.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи