Календарь мероприятий
октябрь 2024
Пн |
Вт |
Ср |
Чт |
Пт |
Сб |
Вс |
| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | | | |
показать все
Новости партнеров
Николай Нашивочников, «Газинформсервис»: в нефтегазовом секторе изменился ландшафт угроз
Читать далее
В Москве обсудят применение искусственного интеллекта в строительстве
Читать далее
«ГенИИ» расскажут о кейсах и вызовах ИИ в производстве
Читать далее
Зарулили на 1-е место: победителем «Биржи ИБ- и IT-стартапов» стал проект по автомобильной кибербезопасности
Читать далее
«Киберарена»: «Газинформсервис» запускает новый формат киберсоревнований
Читать далее
показать все
Статьи
Технологический ИИ-арсенал
Читать далее
Чем страшен ИИ, и с чем его едят
Читать далее
Готов ли рынок АСУ ТП к переменам?
Читать далее
Отрыв длиной в год. Российские ИИ-решения незначительно уступают иностранным аналогам
Читать далее
Лейсан Чистая: «КулибИТ для каждого из нас это больше, чем просто проект – это наша миссия»
Читать далее
Взгляд в перспективу: что будет двигать отрасль информационной безопасности
Читать далее
5 способов повысить безопасность электронной подписи
Читать далее
Как искусственный интеллект изменит экономику
Читать далее
Неочевидный САПР: выход ПО за рамки конструкторской деятельности
Читать далее
Скоро некому будет делать сайты и заниматься версткой
Читать далее
показать все
|
Управление процессами ИБ. Автоматизация учета и классификации активов компании
Главная /
Архив номеров / 2013 / Выпуск №1 (24) / Управление процессами ИБ. Автоматизация учета и классификации активов компании
Рубрика:
Тема номера /
Технологии безопасности
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Олег Марков и Иван Черников, руководитель группы разработки ООО «Газинформсервис», к.т.н., доцент и ведущий инженер группы разработки ООО «Газинформсервис»
Управление процессами ИБ Автоматизация учета и классификации активов компании
О важности и необходимости внедрения в организациях системы управления информационной безопасностью (СУИБ) на основе процессного подхода уже говорилось и писалось неоднократно, в Интернете можно найти многочисленные материалы, посвященные этой теме. В данной статье речь пойдет об одном из процессов менеджмента информационной безопасности – идентификация и классификация активов компании – и практических аспектах автоматизации этого процесса
С точки зрения целевого назначения процессы ИБ классифицируются на процессы обеспечения и процессы управления. Процессы обеспечения ИБ предназначены для реализации непосредственных организационных и технических функций защиты активов компании (технических средств, программного обеспечения и информационных активов). Процессы управления ИБ предназначены для реализации управляющих действий в отношении системы обеспечения ИБ (СОИБ).
Среди основных процессов управления информационной безопасностью можно выделить следующие:
- поддержание в актуальном состоянии документационного обеспечения ИБ;
- идентификация и классификация активов компании (объектов защиты);
- оценка рисков ИБ;
- работа с персоналом по вопросам ИБ;
- управление инцидентами ИБ;
- оценка соответствия требованиям собственных политик ИБ и требованиям регуляторов в области ИБ и др.
Необходимо акцентировать внимание на том, что обеспечение информационной безопасности компании – это не разовая акция, а непрерывная деятельность по планированию, реализации, измерению и совершенствованию процессов обеспечения и управления ИБ. Внедрение процессного подхода к управлению информационной безопасностью в условиях ограниченного штата подразделений ИБ осложняет создание, внедрение и поддержку СУИБ, особенно для крупных компаний.
В частности, представляются затруднительными осуществление и поддержка в актуальном состоянии результатов классификации объектов защиты и оценки рисков ИБ без средств автоматизации, учитывая сложность информационной инфраструктуры, большое количество прикладных систем, где обрабатывается информация ограниченного доступа, обширный перечень критичных активов, подлежащих защите. Или же, например, внедрение и функционирование СУИБ сучетом процессного подхода требует обращения внутри системы значительного объема документов. Указанные особенности обуславливают необходимость использования средств автоматизации для поддержки процессов управления ИБ.
ООО «Газинформсервис» в качестве технического решения предлагает Систему автоматизации процессов управления информационной безопасностью (САПУИБ), которая позволит:
- внедрить и автоматизировать процессный подход к управлению ИБ с учетом специфики компании;
- осуществлять сбор и анализ информации по вопросам ИБ в единой системе (как ручной ввод, так и импорт данных из смежных систем);
- обеспечить информационно-технологическую поддержку деятельности сотрудников подразделений ИБ и ИТ.
САПУИБ реализована на основе платформы RSA Archer eGRC. RSA Archer eGRC является лидером мирового рынка в классе IT-GRC and Enterprise GRC систем.
САПУИБ обеспечивает возможность развертывания территориально-распределенной системы, адаптацию под требования заказчика и функциональную расширяемость в случае необходимости. Система строится на модульном принципе. Состав модулей соответствует основным процессам управления информационной безопасностью:
- модуль «Документационное обеспечение»
- модуль «Учет и классификация объектов защиты»;
- модуль «Работа с персоналом и третьими сторонами по вопросам ИБ»;
- модуль «Управление рисками ИБ»;
- модуль «Управление инцидентами ИБ»;
- модуль «Контроль соответствия требованиям ИБ».
Остановимся более подробно на модуле «Учет и классификация объектов защиты» (УКОЗ). Это один из важнейших модулей системы, именно в нем концентрируются данные обо всех активах компании, определяется их критичность, степень влияния на бизнес-процессы компании, осуществляется формирование паспортов информационных систем (см. рис. 1) – в дальнейшем эти данные используются в модулях «Управление рисками ИБ», «Управление инцидентами ИБ» и «Контроль соответствия требованиям ИБ».
Рисунок 1. Главное окно модуля «Учет и классификация объектов защиты»
В рассматриваемой версии модуля УКОЗ учитывались требования СТО Газпром 4.2-3-004-2009 «Классификация объектов защиты». При его реализации также могут использоваться другие методические документы, например:
- ISO/IEC 27005:2011 Information security risk management;
- Specification for Asset Identification 1.1 (NIST Interagency Report 7693).
Модуль УКОЗ достаточно емкий по своему функциональному назначению. В рамках данной статьи рассмотрим наиболее важные его функции:
- формирование справочников активов компании (перечень объектов защиты);
- интеграция с системами инвентаризации;
- формирование паспортов информационных систем и сервисов (ИСиС);
- оценка критичности объектов защиты (ОЗ);
- классификация ОЗ и передача их в модуль «Управление рисками».
Идентификация объектов защиты
Рассмотрим подход к идентификации и формированию перечня ОЗ, предложенный в данном документе. После определения области внедрения СУИБ в компании и выявления входящих в область внедрения СУИБ бизнес-процессов необходимо определить информационные системы и сервисы, которые участвуют в реализации и поддержке этих бизнес-процессов (см. рис. 2). Для каждой ИСиС формируется перечень объектов защиты (паспорт ИСиС), входящих в ее состав.
Рисунок 2. Взаимосвязь бизнес-процессов и объектов защиты
Объекты защиты распределяются по следующим типам:
- информационные активы (ИА) – файлы, директории, массивы, базы данных, печатные документы;
- программное обеспечение (ПО) – системное ПО, прикладное ПО, инструментальное ПО;
- технические средства (ТС) – средства вычислительной техники, активное сетевое оборудование, носители информации и т. д.
В модуле УКОЗ САПУИБ для формирования перечня объектов защиты существуют справочники по типам ОЗ с возможностью установления связи между ОЗ ТС и ПО, ПО и ИА. В системе реализовано ролевое разграничение доступа кданным, в частности, для процедуры идентификации ОЗ введены роли ответственных за формирование паспортов ИСиС, предоставляющие работникам необходимые права доступа к записям справочников ОЗ и паспортов ИСиС.
Заполнение справочников ОЗ осуществляется как в ручном режиме, так и в автоматизированном посредством импорта данных в САПУИБ с использованием встроенных механизмов платформы RSA Archer eGRC. В качестве источника инвентаризационных данных в автоматизированном режиме могут использоваться, например, следующие системы:
- системы инвентаризации;
- системы контроля защищенности;
- системы предотвращения утечек информации ограниченного доступа (с возможностью идентификации размещения информации).
Использование функциональности системы контроля защищенности (например, системы MaxPatrol) позволяет выполнять задачи инвентаризации, формировать перечень ОЗ, импортировать их в САПУИБ и в дальнейшем проводить необходимые действия с ОЗ в интересах ИБ (идентификацию уязвимостей, проверку соответствия стандартам ИБ и др.).
Кроме того, система MaxPatrol является источником для формирования единых идентификаторов ОЗ (которые могут быть скорректированы/дополнены в САПУИБ). Единый идентификатор ОЗ – это составной параметр, который формируется из инвентаризационных данных системы MaxPatrol и однозначно идентифицирует объекты защиты.
Например, для формирования единого идентификатора могут использоваться следующие параметры:
- для ТС – наименование ТС, серийный номер материнской платы;
- системного ПО – наименование ПО, хост-имя (IP-адрес).
Ручное заполнение справочников ОЗ требуется в случае корректировки или внесения дополнительных данных, необходимых для процедуры определения критичности ОЗ:
- сведения о собственниках, владельцах и администраторах;
- время восстановления работоспособности ОЗ, обеспечиваемое отделом ИТ;
- стоимость ТС и др.
Результаты формирования паспортов ИСиС (см. рис. 3) должны быть утверждены руководством (например, начальником отдела ИТ) перед началом процедуры оценки критичности ОЗ. Внесение изменений в утвержденные паспорта ИСиС ограничено и отслеживается встроенными механизмами САПУИБ (уведомления на e-mail).
Рисунок 3. Фрагмент паспорта ИСиС
Оценка критичности объектов защиты
Для каждого идентифицированного ОЗ выявляется уровень его критичности (например, максимальный, средний и минимальный). В первую очередь определяется критичность ИА как информационного ресурса, непосредственно влияющего на непрерывность бизнес-процессов компании. Данную процедуру выполняют работники компании (владельцы ОЗ, работники подразделений ИБ и ИТ, начальники подразделений и иные заинтересованные лица).
Определение критичности ИА должно быть выполнено для каждого свойства ИА, нарушение которого критично (например, конфиденциальность, целостность, доступность). Нарушение свойства ИА считается критичным в случае, если это приводит к наступлению негативных последствий для компании в результате нарушений хотя бы по одному из следующих направлений:
- требования государственных нормативно-правовых актов;
- требования контрактных обязательств;
- требования действующих в компании нормативных и организационно-распорядительных документов, заключенных договоров;
- требования непрерывности бизнес-процессов.
В САПУИБ уже сформированы опросные листы, которые позволяют с помощью ролевого разграничения доступа производить процедуру определения критичности заинтересованными лицами в части их ответственности. В опросных листах содержатся вопросы, которые интерпретируют термины ИБ в понятные владельцам ИА определения, а также приведены ситуативные примеры. При необходимости опросные листы могут быть скорректированы (изменена структура, добавлены новые/изменены существующие вопросы, изменена логика расчета итоговой критичности).
По результатам заполнения опросных листов владельцами ИА формируется набор данных для определения критичности ПО и ТС, например, целевое время восстановления ИСиС. В определении критичности ПО и ТС принимают участие работники подразделений ИБ и ИТ, которые принимают решение об уровне критичности с учетом:
- данных о критичности зависимых ОЗ (критичность ПО зависит от критичности ИА, критичность ТС зависит от критичности ПО);
- сравнения значения целевого времени восстановления ИСиС с суммарным временем восстановления работоспособности всех ОЗ, входящих в ИСиС;
- стоимости ТС.
Классификация объектов защиты
Исходя из полученного уровня критичности ОЗ относят к одной из групп:
- ОЗ максимального уровня критичности;
- ОЗ среднего уровня критичности;
- ОЗ минимального уровня критичности.
Результаты разделения ОЗ на группы используются при формировании требований по обеспечению информационной безопасности, например, следующим образом:
- для ИСиС, в состав которой входит хотя бы один ОЗ с максимальным уровнем критичности, формирование требований по ИБ должны осуществляться после проведения детальной оценки рисков ИБ с обязательным выполнением базовых требований по ИБ;
- для иных ИСиС должны быть выполнены только базовые требования по ИБ.
***
В результате проведения идентификации и классификации ОЗ с использованием САПУИБ формируется перечень ОЗ и ИСиС, определяется критичность ОЗ с учетом их влияния на бизнес-процессы компании. Эффективность автоматизации процесса идентификации и классификации обусловлена:
- обеспечением оперативной поддержки в актуальном состоянии информации об ОЗ в условиях ограниченного штата сотрудников и большого количества учетных объектов;
- применением единых идентификаторов ОЗ в САПУИБ, позволяющих использовать данные для реализации других процессов управления ИБ (управление рисками ИБ, управление инцидентами ИБ, контроль соответствия требованиямпо ИБ) и создать единую информационную среду для взаимодействия со смежными системами;
Внедрение САПУИБ повысит прозрачность и эффективность деятельности подразделений ИБ и ИТ в интересах бизнеса. В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
Вакансии на сайте Jooble
|