Автоматизация СУИБ: планирование, внедрение, совершенствование

Автоматизация СУИБ: планирование, внедрение, совершенствование

Наталья Куканова, аналитик по информационной безопасности Digital Security

Процессный подход

Управление информационной безопасностью (ИБ) в зрелых с точки зрения обеспечения безопасности компаниях - привычное дело. Процесс обеспечения безопасности уже не представляется без регулярных проверок эффективности функционирования существующих процедур, постоянного их совершенствования, внедрения изменений. Процессный подход к управлению безопасностью, описанный в ISO/IEC 27001:2005, декларирует, что все процедуры обеспечения информационной безопасности - и в итоге весь процесс в целом -должны последовательно проходить четыре этапа: планирование, внедрение, проверку и внесение изменений. Такой подход гарантирует непрерывное совершенствование процесса обеспечения безопасности.

Учитывая, что все процедуры обеспечения ИБ постоянно проходят повторяющиеся этапы, естественно, возникает идея эти этапы автоматизировать с тем, чтобы хотя бы часть работ выполнять с помощью какого-либо автоматизированного средства.

До сих пор основными задачами, решаемыми автоматизированными средствами, были анализ и управление информационными рисками, а также анализ соответствия системы требованиям стандартов безопасности (в частности, ISO/IEC 27001:2005).

Долгое время такой подход был оправдан, так как процесс анализа и управления рисками представлял собой наибольшую сложность. Однако со временем становится понятно, что главное - организовать процесс так, чтобы все процедуры циклически проходили этапы PDCA-модели, чтобы обеспечение безопасности было налаженным, постоянно совершенствующимся процессом. Именно в этом помогает использование автоматизированного средства управления ИБ.

Рассмотрим основные задачи подобной автоматизированной системы в рамках этапов PDCA-модели системы управления ИБ.

Планирование

Процесс планирования включает следующие этапы:

1. Определение перечня информационных ресурсов компании. Автоматизированное средство помогает хранить данные об информационных ресурсах и всех их изменениях, помимо этого, оно может упростить процесс сбора данных.
2. Оценка критичности видов информации. Здесь автоматизированное средство может только хранить данные, сведения анкет.
3. Оценка защищенности информационной системы (ИС), то есть выявление угроз и уязвимостей информационных ресурсов. Интеграция с базами уязвимостей (например, OSVDB) и встроенные базы угроз (например, DSEC-CT) помогают оптимизировать данный процесс и обеспечить его полноту. Кроме того, возможна интеграция с различными сканерами уязвимостей.
4. Определение информационных рисков, используя имеющиеся данные об информационной системе. Встроенный алгоритм рассчитывает информационные риски на основе внесенных (или собранных автоматически) данных. Результат оформляется в виде отчета.
5. Выбор стратегии обработки рисков, определение мер по снижению рисков. Автоматизированное средство позволяет максимально гибко и удобно моделировать различные варианты внедрения средств защиты, оценить эффективность планируемых средств, выбрать наилучшую стратегию защиты.

Внедрение

Внедрение процедур системы управления ИБ, средств повышения защищенности подразумевает их реализацию в информационной системе компании. В данном процессе автоматизированное средство может аккумулировать информацию, осуществлять общение между специалистами по ИБ, исполнять роль планировщика задач.

На данном этапе основная роль автоматизированного средства - сохранять документы системы управления ИБ:

• регламентирующие документы (политики, регламенты, инструкции);
• записи, подтверждающие выполнение существующих процедур в ИС компании.

Это позволяет хранить всю документацию системы управления ИБ в одном централизованном месте и в случае необходимости без промедления предоставлять ее заинтересованным лицам (например, внутренним или внешним аудиторам).

Проверка

Проверка функционирования процедуры системы управления ИБ необходима для того, чтобы гарантировать их правильную и эффективную работу или в случае выявления каких-либо нарушений определить, какие требуются совершенствования. На данном этапе автоматизированное средство может выполнять, например, следующие роли:

• Ведение статистики и анализ инцидентов. Анализ инцидентов является основным критерием эффективности и достаточности обеспечения безопасности ИС, а также эффективности всей системы управления ИБ в целом. На основе информации об инцидентах определяются меры по совершенствованию средств защиты ИС. Автоматизированное средство может предоставлять возможность структурированного хранения данных обо всех инцидентах ИБ, собирать их статистику по различным параметрам, помечать объекты, часто фиксируемые в качестве объектов инцидентов.
• Сбор метрик оценки эффективности И Б. Результаты и частота инцидентов информационной безопасности - наиболее очевидная метрика оценки ее эффективности. Кроме того, автоматизированное средство может анализировать, например, следующие данные: уязвимости ИС (найденные, закрытые), эффективность внедряемых контрмер, количество проведенных курсов по ИБ и т.п.

Совершенствование

На основе собранных и проанализированных метрик оценки эффективности определяются корректирующие действия и план их внедрения. Как правило, корректирующие действия являются либо изменениями в процедурах, документах, либо новыми средствами защиты, то есть изменениями в самой ИС компании. Автоматизированное средство помогает отражать результаты, хранить данные и вести контроль изменений защищенности ИС.

По завершении последнего этапа PDCA-модели весь процесс заново переходит на этап планирования и циклически повторяется в течение всего жизненного цикла системы управления ИБ.

Заключение

Управление информационной безопасностью в крупной компании - достаточно сложный и объемный процесс. Он распространяется на все информационные активы компании - пользователей, программное и аппаратное обеспечение, сетевую инфраструктуру. Данный процесс поддерживается специалистами по ИБ и ИТ; каждый пользователь ИС несет ответственность за обеспечение безопасности информации, которую он обрабатывает. Специалистам по ИБ необходимо получать своевременную достоверную информацию о системе обеспечения ИБ компании. В этом может помочь централизованное хранение данных обо всех компонентах ИС и средствах ее защиты, которое одновременно позволяет выполнять статистический анализ различных данных об ИС, анализ эффективности планируемых, а также существующих средств защиты информации и пр. Однако при всех положительных и иногда даже незаменимых особенностях автоматизированного средства управления ИБ, оно не может полностью заменить работу специалиста по ИБ, ведь многие оценки - например, критичность информационных ресурсов - невозможно получить без использования экспертных оценок специалистов.

Комментарий эксперта

Екатерина Яблокова, зам. директора департамента информационной безопасности "ТехноСерв А/С"

В НАШЕ время понятие "система управления информационной безопасностью" становится все более популярным и модным. Все осознают растущую зависимость бизнеса от информационных технологий и значимость вопросов информационной безопасности как одной из важнейших частей обеспечения непрерывности бизнеса. Поэтому тема, затронутая в статье, является актуальной для предприятий и организаций, которые озаботились вопросами внедрения ISO/IEC 27001:2005. Хотя в настоящее время рынок предлагает большое количество программных продуктов, позволяющих автоматизировать какие-то этапы жизненного цикла СУИБ, все они разобщены, имеют совершенно различные форматы представления, используют различные методологии управления рисками, оценки защищенности информационной системы, иерархии и классификации ресурсов, основываются на различных источниках баз данных угроз и уязвимостей и т.п. В данном контексте создание единого автоматизированного средства представляется чуть ли не панацеей для реализации действительно системного подхода к управлению ИБ, но любое средство - это еще не решение вопроса. А весь вопрос в том, как именно в той или иной организации построены процессы управления ИБ. Любое программное средство не заменит кропотливой работы аналитика по классификации ресурсов, анализу угроз и уязвимостей, выбору контрмер, планированию и поддержанию процедур безопасности, анализу инцидентов и т.п. Таким образом, применение такого комплексного программного средства существенно "упростит жизнь" специалистам по ИБ тех предприятий и организаций, где процессы управления безопасности уже достаточно хорошо поставлены. Организации, находящиеся в начале пути, смогут использовать данное программное средство для получения нужной информации в удобном формате, что никак не повлияет на эффективность реальных процессов, поскольку на любой из стадий процесса управления безопасности невозможно обойтись без участия специалиста.