апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

12.04.2024

На RIGF 2024 обсудили ключевые вопросы цифрового развития России

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2013 / Выпуск №1 (24) / Управление процессами ИБ. Автоматизация учета и классификации активов компании

Рубрика: Тема номера /  Технологии безопасности

Олег Марков и Иван Черников, руководитель группы разработки ООО «Газинформсервис», к.т.н., доцент и ведущий инженер группы разработки ООО «Газинформсервис»

Управление процессами ИБ
Автоматизация учета и классификации активов компании

О важности и необходимости внедрения в организациях системы управления информационной безопасностью (СУИБ) на основе процессного подхода уже говорилось и писалось неоднократно, в Интернете можно найти многочисленные материалы, посвященные этой теме. В данной статье речь пойдет об одном из процессов менеджмента информационной безопасности – идентификация и классификация активов компании – и практических аспектах автоматизации этого процесса

С точки зрения целевого назначения процессы ИБ классифицируются на процессы обеспечения и процессы управления. Процессы обеспечения ИБ предназначены для реализации непосредственных организационных и технических функций защиты активов компании (технических средств, программного обеспечения и информационных активов). Процессы управления ИБ предназначены для реализации управляющих действий в отношении системы обеспечения ИБ (СОИБ).

Среди основных процессов управления информационной безопасностью можно выделить следующие:

• поддержание в актуальном состоянии документационного обеспечения ИБ;
• идентификация и классификация активов компании (объектов защиты);
• оценка рисков ИБ;
• работа с персоналом по вопросам ИБ;
• управление инцидентами ИБ;
• оценка соответствия требованиям собственных политик ИБ и требованиям регуляторов в области ИБ и др.

Необходимо акцентировать внимание на том, что обеспечение информационной безопасности компании – это не разовая акция, а непрерывная деятельность по планированию, реализации, измерению и совершенствованию процессов обеспечения и управления ИБ. Внедрение процессного подхода к управлению информационной безопасностью в условиях ограниченного штата подразделений ИБ осложняет создание, внедрение и поддержку СУИБ, особенно для крупных компаний.

В частности, представляются затруднительными осуществление и поддержка в актуальном состоянии результатов классификации объектов защиты и оценки рисков ИБ без средств автоматизации, учитывая сложность информационной инфраструктуры, большое количество прикладных систем, где обрабатывается информация ограниченного доступа, обширный перечень критичных активов, подлежащих защите. Или же, например, внедрение и функционирование СУИБ сучетом процессного подхода требует обращения внутри системы значительного объема документов. Указанные особенности обуславливают необходимость использования средств автоматизации для поддержки процессов управления ИБ.

ООО «Газинформсервис» в качестве технического решения предлагает Систему автоматизации процессов управления информационной безопасностью (САПУИБ), которая позволит:

• внедрить и автоматизировать процессный подход к управлению ИБ с учетом специфики компании;
• осуществлять сбор и анализ информации по вопросам ИБ в единой системе (как ручной ввод, так и импорт данных из смежных систем);
• обеспечить информационно-технологическую поддержку деятельности сотрудников подразделений ИБ и ИТ.

САПУИБ реализована на основе платформы RSA Archer eGRC. RSA Archer eGRC является лидером мирового рынка в классе IT-GRC and Enterprise GRC систем.

САПУИБ обеспечивает возможность развертывания территориально-распределенной системы, адаптацию под требования заказчика и функциональную расширяемость в случае необходимости. Система строится на модульном принципе. Состав модулей соответствует основным процессам управления информационной безопасностью:

• модуль «Документационное обеспечение»
• модуль «Учет и классификация объектов защиты»;
• модуль «Работа с персоналом и третьими сторонами по вопросам ИБ»;
• модуль «Управление рисками ИБ»;
• модуль «Управление инцидентами ИБ»;
• модуль «Контроль соответствия требованиям ИБ».

Остановимся более подробно на модуле «Учет и классификация объектов защиты» (УКОЗ). Это один из важнейших модулей системы, именно в нем концентрируются данные обо всех активах компании, определяется их критичность, степень влияния на бизнес-процессы компании, осуществляется формирование паспортов информационных систем (см. рис. 1) – в дальнейшем эти данные используются в модулях «Управление рисками ИБ», «Управление инцидентами ИБ» и «Контроль соответствия требованиям ИБ».

Рисунок 1. Главное окно модуля «Учет и классификация объектов защиты»

В рассматриваемой версии модуля УКОЗ учитывались требования СТО Газпром 4.2-3-004-2009 «Классификация объектов защиты». При его реализации также могут использоваться другие методические документы, например:

• ISO/IEC 27005:2011 Information security risk management;
• Specification for Asset Identification 1.1 (NIST Interagency Report 7693).

Модуль УКОЗ достаточно емкий по своему функциональному назначению. В рамках данной статьи рассмотрим наиболее важные его функции:

• формирование справочников активов компании (перечень объектов защиты);
• интеграция с системами инвентаризации;
• формирование паспортов информационных систем и сервисов (ИСиС);
• оценка критичности объектов защиты (ОЗ);
• классификация ОЗ и передача их в модуль «Управление рисками».

Идентификация объектов защиты

Рассмотрим подход к идентификации и формированию перечня ОЗ, предложенный в данном документе. После определения области внедрения СУИБ в компании и выявления входящих в область внедрения СУИБ бизнес-процессов необходимо определить информационные системы и сервисы, которые участвуют в реализации и поддержке этих бизнес-процессов (см. рис. 2). Для каждой ИСиС формируется перечень объектов защиты (паспорт ИСиС), входящих в ее состав.

Рисунок 2. Взаимосвязь бизнес-процессов и объектов защиты

Объекты защиты распределяются по следующим типам:

• информационные активы (ИА) – файлы, директории, массивы, базы данных, печатные документы;
• программное обеспечение (ПО) – системное ПО, прикладное ПО, инструментальное ПО;
• технические средства (ТС) – средства вычислительной техники, активное сетевое оборудование, носители информации и т. д.

В модуле УКОЗ САПУИБ для формирования перечня объектов защиты существуют справочники по типам ОЗ с возможностью установления связи между ОЗ ТС и ПО, ПО и ИА. В системе реализовано ролевое разграничение доступа кданным, в частности, для процедуры идентификации ОЗ введены роли ответственных за формирование паспортов ИСиС, предоставляющие работникам необходимые права доступа к записям справочников ОЗ и паспортов ИСиС.

Заполнение справочников ОЗ осуществляется как в ручном режиме, так и в автоматизированном посредством импорта данных в САПУИБ с использованием встроенных механизмов платформы RSA Archer eGRC. В качестве источника инвентаризационных данных в автоматизированном режиме могут использоваться, например, следующие системы:

• системы инвентаризации;
• системы контроля защищенности;
• системы предотвращения утечек информации ограниченного доступа (с возможностью идентификации размещения информации).

Использование функциональности системы контроля защищенности (например, системы MaxPatrol) позволяет выполнять задачи инвентаризации, формировать перечень ОЗ, импортировать их в САПУИБ и в дальнейшем проводить необходимые действия с ОЗ в интересах ИБ (идентификацию уязвимостей, проверку соответствия стандартам ИБ и др.).

Кроме того, система MaxPatrol является источником для формирования единых идентификаторов ОЗ (которые могут быть скорректированы/дополнены в САПУИБ). Единый идентификатор ОЗ – это составной параметр, который формируется из инвентаризационных данных системы MaxPatrol и однозначно идентифицирует объекты защиты.

Например, для формирования единого идентификатора могут использоваться следующие параметры:

• для ТС – наименование ТС, серийный номер материнской платы;
• системного ПО – наименование ПО, хост-имя (IP-адрес).

Ручное заполнение справочников ОЗ требуется в случае корректировки или внесения дополнительных данных, необходимых для процедуры определения критичности ОЗ:

• сведения о собственниках, владельцах и администраторах;
• время восстановления работоспособности ОЗ, обеспечиваемое отделом ИТ;
• стоимость ТС и др.

Результаты формирования паспортов ИСиС (см. рис. 3) должны быть утверждены руководством (например, начальником отдела ИТ) перед началом процедуры оценки критичности ОЗ. Внесение изменений в утвержденные паспорта ИСиС ограничено и отслеживается встроенными механизмами САПУИБ (уведомления на e-mail).

Рисунок 3. Фрагмент паспорта ИСиС

Оценка критичности объектов защиты

Для каждого идентифицированного ОЗ выявляется уровень его критичности (например, максимальный, средний и минимальный). В первую очередь определяется критичность ИА как информационного ресурса, непосредственно влияющего на непрерывность бизнес-процессов компании. Данную процедуру выполняют работники компании (владельцы ОЗ, работники подразделений ИБ и ИТ, начальники подразделений и иные заинтересованные лица).

Определение критичности ИА должно быть выполнено для каждого свойства ИА, нарушение которого критично (например, конфиденциальность, целостность, доступность). Нарушение свойства ИА считается критичным в случае, если это приводит к наступлению негативных последствий для компании в результате нарушений хотя бы по одному из следующих направлений:

• требования государственных нормативно-правовых актов;
• требования контрактных обязательств;
• требования действующих в компании нормативных и организационно-распорядительных документов, заключенных договоров;
• требования непрерывности бизнес-процессов.

В САПУИБ уже сформированы опросные листы, которые позволяют с помощью ролевого разграничения доступа производить процедуру определения критичности заинтересованными лицами в части их ответственности. В опросных листах содержатся вопросы, которые интерпретируют термины ИБ в понятные владельцам ИА определения, а также приведены ситуативные примеры. При необходимости опросные листы могут быть скорректированы (изменена структура, добавлены новые/изменены существующие вопросы, изменена логика расчета итоговой критичности).

По результатам заполнения опросных листов владельцами ИА формируется набор данных для определения критичности ПО и ТС, например, целевое время восстановления ИСиС. В определении критичности ПО и ТС принимают участие работники подразделений ИБ и ИТ, которые принимают решение об уровне критичности с учетом:

• данных о критичности зависимых ОЗ (критичность ПО зависит от критичности ИА, критичность ТС зависит от критичности ПО);
• сравнения значения целевого времени восстановления ИСиС с суммарным временем восстановления работоспособности всех ОЗ, входящих в ИСиС;
• стоимости ТС.

Классификация объектов защиты

Исходя из полученного уровня критичности ОЗ относят к одной из групп:

• ОЗ максимального уровня критичности;
• ОЗ среднего уровня критичности;
• ОЗ минимального уровня критичности.

Результаты разделения ОЗ на группы используются при формировании требований по обеспечению информационной безопасности, например, следующим образом:

• для ИСиС, в состав которой входит хотя бы один ОЗ с максимальным уровнем критичности, формирование требований по ИБ должны осуществляться после проведения детальной оценки рисков ИБ с обязательным выполнением базовых требований по ИБ;
• для иных ИСиС должны быть выполнены только базовые требования по ИБ.

***

В результате проведения идентификации и классификации ОЗ с использованием САПУИБ формируется перечень ОЗ и ИСиС, определяется критичность ОЗ с учетом их влияния на бизнес-процессы компании. Эффективность автоматизации процесса идентификации и классификации обусловлена:

• обеспечением оперативной поддержки в актуальном состоянии информации об ОЗ в условиях ограниченного штата сотрудников и большого количества учетных объектов;
• применением единых идентификаторов ОЗ в САПУИБ, позволяющих использовать данные для реализации других процессов управления ИБ (управление рисками ИБ, управление инцидентами ИБ, контроль соответствия требованиямпо ИБ) и создать единую информационную среду для взаимодействия со смежными системами;

Внедрение САПУИБ повысит прозрачность и эффективность деятельности подразделений ИБ и ИТ в интересах бизнеса.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи