Управление процессами ИБ. Автоматизация учета и классификации активов компании::БИТ 01.2013
 
                 
Поиск по сайту
 bit.samag.ru     Web
Рассылка Subscribe.ru
подписаться письмом
Вход в систему
 Запомнить меня
Регистрация
Забыли пароль?

Календарь мероприятий
июль    2022
Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

показать все 

Новости партнеров

06.07.2022

MERLION IT Summit 2022: новый уровень важного отраслевого события

Читать далее 

05.07.2022

Учиться для жизни: специалисты в Оренбургской области решат задачу для образовательной компании

Читать далее 

04.07.2022

Запущена единая база знаний по работе с кириллическими доменными именами и email адресами

Читать далее 

27.06.2022

Три миллиона за искусственный интеллект: в Москве стартовал всероссийский чемпионат по искусственному интеллекту 

Читать далее 

показать все 

Статьи

29.04.2022

Можно ли продолжать цифровую трансформацию сегодня?

Читать далее 

23.03.2022

Дата-центры – 2022

Читать далее 

04.01.2022

Ваш рейтинг перспективных технологий

Читать далее 

11.12.2021

Что повысит конкурентоспособность?

Читать далее 

02.11.2021

Парадокс инвесторов

Читать далее 

13.02.2020

Чат-бот CallShark не требует зарплаты, а работает круглосуточно

Читать далее 

24.12.2019

До встречи в «Пьяном Сомелье»!

Читать далее 

21.12.2019

Искусство как награда Как изготавливали статуэтки для премии IT Stars им. Георгия Генса в сфере инноваций

Читать далее 

04.12.2019

ЛАНИТ учредил премию IT Stars памяти основателя компании Георгия Генса

Читать далее 

04.06.2019

Маркетолог: привлекать, продавать, продвигать?

Читать далее 

показать все 

Управление процессами ИБ. Автоматизация учета и классификации активов компании

Главная / Архив номеров / 2013 / Выпуск №1 (24) / Управление процессами ИБ. Автоматизация учета и классификации активов компании

Рубрика: Тема номера /  Технологии безопасности


Олег Марков и Иван Черниковруководитель группы разработки ООО «Газинформсервис», к.т.н., доцент и ведущий инженер группы разработки ООО «Газинформсервис»

Управление процессами ИБ
Автоматизация учета и классификации активов компании

О важности и необходимости внедрения в организациях системы управления информационной безопасностью (СУИБ) на основе процессного подхода уже говорилось и писалось неоднократно, в Интернете можно найти многочисленные материалы, посвященные этой теме. В данной статье речь пойдет об одном из процессов менеджмента информационной безопасности – идентификация и классификация активов компании – и практических аспектах автоматизации этого процесса

С точки зрения целевого назначения процессы ИБ классифицируются на процессы обеспечения и процессы управления. Процессы обеспечения ИБ предназначены для реализации непосредственных организационных и технических функций защиты активов компании (технических средств, программного обеспечения и информационных активов). Процессы управления ИБ предназначены для реализации управляющих действий в отношении системы обеспечения ИБ (СОИБ).

Среди основных процессов управления информационной безопасностью можно выделить следующие:

  • поддержание в актуальном состоянии документационного обеспечения ИБ;
  • идентификация и классификация активов компании (объектов защиты);
  • оценка рисков ИБ;
  • работа с персоналом по вопросам ИБ;
  • управление инцидентами ИБ;
  • оценка соответствия требованиям собственных политик ИБ и требованиям регуляторов в области ИБ и др.

Необходимо акцентировать внимание на том, что обеспечение информационной безопасности компании – это не разовая акция, а непрерывная деятельность по планированию, реализации, измерению и совершенствованию процессов обеспечения и управления ИБ. Внедрение процессного подхода к управлению информационной безопасностью в условиях ограниченного штата подразделений ИБ осложняет создание, внедрение и поддержку СУИБ, особенно для крупных компаний.

В частности, представляются затруднительными осуществление и поддержка в актуальном состоянии результатов классификации объектов защиты и оценки рисков ИБ без средств автоматизации, учитывая сложность информационной инфраструктуры, большое количество прикладных систем, где обрабатывается информация ограниченного доступа, обширный перечень критичных активов, подлежащих защите. Или же, например, внедрение и функционирование СУИБ сучетом процессного подхода требует обращения внутри системы значительного объема документов. Указанные особенности обуславливают необходимость использования средств автоматизации для поддержки процессов управления ИБ.

ООО «Газинформсервис» в качестве технического решения предлагает Систему автоматизации процессов управления информационной безопасностью (САПУИБ), которая позволит:

  • внедрить и автоматизировать процессный подход к управлению ИБ с учетом специфики компании;
  • осуществлять сбор и анализ информации по вопросам ИБ в единой системе (как ручной ввод, так и импорт данных из смежных систем);
  • обеспечить информационно-технологическую поддержку деятельности сотрудников подразделений ИБ и ИТ.

САПУИБ реализована на основе платформы RSA Archer eGRC. RSA Archer eGRC является лидером мирового рынка в классе IT-GRC and Enterprise GRC систем.

САПУИБ обеспечивает возможность развертывания территориально-распределенной системы, адаптацию под требования заказчика и функциональную расширяемость в случае необходимости. Система строится на модульном принципе. Состав модулей соответствует основным процессам управления информационной безопасностью:

  • модуль «Документационное обеспечение»
  • модуль «Учет и классификация объектов защиты»;
  • модуль «Работа с персоналом и третьими сторонами по вопросам ИБ»;
  • модуль «Управление рисками ИБ»;
  • модуль «Управление инцидентами ИБ»;
  • модуль «Контроль соответствия требованиям ИБ».

Остановимся более подробно на модуле «Учет и классификация объектов защиты» (УКОЗ). Это один из важнейших модулей системы, именно в нем концентрируются данные обо всех активах компании, определяется их критичность, степень влияния на бизнес-процессы компании, осуществляется формирование паспортов информационных систем (см. рис. 1) – в дальнейшем эти данные используются в модулях «Управление рисками ИБ», «Управление инцидентами ИБ» и «Контроль соответствия требованиям ИБ».

Рисунок 1. Главное окно модуля «Учет и классификация объектов защиты»

Рисунок 1. Главное окно модуля «Учет и классификация объектов защиты»

В рассматриваемой версии модуля УКОЗ учитывались требования СТО Газпром 4.2-3-004-2009 «Классификация объектов защиты». При его реализации также могут использоваться другие методические документы, например:

  • ISO/IEC 27005:2011 Information security risk management;
  • Specification for Asset Identification 1.1 (NIST Interagency Report 7693).

Модуль УКОЗ достаточно емкий по своему функциональному назначению. В рамках данной статьи рассмотрим наиболее важные его функции:

  • формирование справочников активов компании (перечень объектов защиты);
  • интеграция с системами инвентаризации;
  • формирование паспортов информационных систем и сервисов (ИСиС);
  • оценка критичности объектов защиты (ОЗ);
  • классификация ОЗ и передача их в модуль «Управление рисками».

Идентификация объектов защиты

Рассмотрим подход к идентификации и формированию перечня ОЗ, предложенный в данном документе. После определения области внедрения СУИБ в компании и выявления входящих в область внедрения СУИБ бизнес-процессов необходимо определить информационные системы и сервисы, которые участвуют в реализации и поддержке этих бизнес-процессов (см. рис. 2). Для каждой ИСиС формируется перечень объектов защиты (паспорт ИСиС), входящих в ее состав.

Рисунок 2. Взаимосвязь бизнес-процессов и объектов защиты

Рисунок 2. Взаимосвязь бизнес-процессов и объектов защиты

Объекты защиты распределяются по следующим типам:

  • информационные активы (ИА) – файлы, директории, массивы, базы данных, печатные документы;
  • программное обеспечение (ПО) – системное ПО, прикладное ПО, инструментальное ПО;
  • технические средства (ТС) – средства вычислительной техники, активное сетевое оборудование, носители информации и т. д.

В модуле УКОЗ САПУИБ для формирования перечня объектов защиты существуют справочники по типам ОЗ с возможностью установления связи между ОЗ ТС и ПО, ПО и ИА. В системе реализовано ролевое разграничение доступа кданным, в частности, для процедуры идентификации ОЗ введены роли ответственных за формирование паспортов ИСиС, предоставляющие работникам необходимые права доступа к записям справочников ОЗ и паспортов ИСиС.

Заполнение справочников ОЗ осуществляется как в ручном режиме, так и в автоматизированном посредством импорта данных в САПУИБ с использованием встроенных механизмов платформы RSA Archer eGRC. В качестве источника инвентаризационных данных в автоматизированном режиме могут использоваться, например, следующие системы:

  • системы инвентаризации;
  • системы контроля защищенности;
  • системы предотвращения утечек информации ограниченного доступа (с возможностью идентификации размещения информации).

Использование функциональности системы контроля защищенности (например, системы MaxPatrol) позволяет выполнять задачи инвентаризации, формировать перечень ОЗ, импортировать их в САПУИБ и в дальнейшем проводить необходимые действия с ОЗ в интересах ИБ (идентификацию уязвимостей, проверку соответствия стандартам ИБ и др.).

Кроме того, система MaxPatrol является источником для формирования единых идентификаторов ОЗ (которые могут быть скорректированы/дополнены в САПУИБ). Единый идентификатор ОЗ – это составной параметр, который формируется из инвентаризационных данных системы MaxPatrol и однозначно идентифицирует объекты защиты.

Например, для формирования единого идентификатора могут использоваться следующие параметры:

  • для ТС – наименование ТС, серийный номер материнской платы;
  • системного ПО – наименование ПО, хост-имя (IP-адрес).

Ручное заполнение справочников ОЗ требуется в случае корректировки или внесения дополнительных данных, необходимых для процедуры определения критичности ОЗ:

  • сведения о собственниках, владельцах и администраторах;
  • время восстановления работоспособности ОЗ, обеспечиваемое отделом ИТ;
  • стоимость ТС и др.

Результаты формирования паспортов ИСиС (см. рис. 3) должны быть утверждены руководством (например, начальником отдела ИТ) перед началом процедуры оценки критичности ОЗ. Внесение изменений в утвержденные паспорта ИСиС ограничено и отслеживается встроенными механизмами САПУИБ (уведомления на e-mail).

Рисунок 3. Фрагмент паспорта ИСиС

Рисунок 3. Фрагмент паспорта ИСиС

Оценка критичности объектов защиты

Для каждого идентифицированного ОЗ выявляется уровень его критичности (например, максимальный, средний и минимальный). В первую очередь определяется критичность ИА как информационного ресурса, непосредственно влияющего на непрерывность бизнес-процессов компании. Данную процедуру выполняют работники компании (владельцы ОЗ, работники подразделений ИБ и ИТ, начальники подразделений и иные заинтересованные лица).

Определение критичности ИА должно быть выполнено для каждого свойства ИА, нарушение которого критично (например, конфиденциальность, целостность, доступность). Нарушение свойства ИА считается критичным в случае, если это приводит к наступлению негативных последствий для компании в результате нарушений хотя бы по одному из следующих направлений:

  • требования государственных нормативно-правовых актов;
  • требования контрактных обязательств;
  • требования действующих в компании нормативных и организационно-распорядительных документов, заключенных договоров;
  • требования непрерывности бизнес-процессов.

В САПУИБ уже сформированы опросные листы, которые позволяют с помощью ролевого разграничения доступа производить процедуру определения критичности заинтересованными лицами в части их ответственности. В опросных листах содержатся вопросы, которые интерпретируют термины ИБ в понятные владельцам ИА определения, а также приведены ситуативные примеры. При необходимости опросные листы могут быть скорректированы (изменена структура, добавлены новые/изменены существующие вопросы, изменена логика расчета итоговой критичности).

По результатам заполнения опросных листов владельцами ИА формируется набор данных для определения критичности ПО и ТС, например, целевое время восстановления ИСиС. В определении критичности ПО и ТС принимают участие работники подразделений ИБ и ИТ, которые принимают решение об уровне критичности с учетом:

  • данных о критичности зависимых ОЗ (критичность ПО зависит от критичности ИА, критичность ТС зависит от критичности ПО);
  • сравнения значения целевого времени восстановления ИСиС с суммарным временем восстановления работоспособности всех ОЗ, входящих в ИСиС;
  • стоимости ТС.

Классификация объектов защиты

Исходя из полученного уровня критичности ОЗ относят к одной из групп:

  • ОЗ максимального уровня критичности;
  • ОЗ среднего уровня критичности;
  • ОЗ минимального уровня критичности.

Результаты разделения ОЗ на группы используются при формировании требований по обеспечению информационной безопасности, например, следующим образом:

  • для ИСиС, в состав которой входит хотя бы один ОЗ с максимальным уровнем критичности, формирование требований по ИБ должны осуществляться после проведения детальной оценки рисков ИБ с обязательным выполнением базовых требований по ИБ;
  • для иных ИСиС должны быть выполнены только базовые требования по ИБ.

***

В результате проведения идентификации и классификации ОЗ с использованием САПУИБ формируется перечень ОЗ и ИСиС, определяется критичность ОЗ с учетом их влияния на бизнес-процессы компании. Эффективность автоматизации процесса идентификации и классификации обусловлена:

  • обеспечением оперативной поддержки в актуальном состоянии информации об ОЗ в условиях ограниченного штата сотрудников и большого количества учетных объектов;
  • применением единых идентификаторов ОЗ в САПУИБ, позволяющих использовать данные для реализации других процессов управления ИБ (управление рисками ИБ, управление инцидентами ИБ, контроль соответствия требованиямпо ИБ) и создать единую информационную среду для взаимодействия со смежными системами;

Внедрение САПУИБ повысит прозрачность и эффективность деятельности подразделений ИБ и ИТ в интересах бизнеса.

В начало⇑

 

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи

Выпуск №04 (117) 2022г.
Выпуск №04 (117) 2022г. Выпуск №03 (116) 2022г. Выпуск №01 (114) 2022г. Выпуск №02 (115) 2022г.
Вакансии на сайте Jooble

           

Tel.: (499) 277-12-41  Fax: (499) 277-12-45  E-mail: sa@samag.ru

 

Copyright © Системный администратор

  Яндекс.Метрика