Быстрый и одновременно надежный обмен информацией с партнерами и заказчиками давно уже стал обыденностью на современных предприятиях, но информационная и коммуникационная техника становится все сложнее. Поэтому при принятии решения относительно использования новых технологий почти всегда на первом плане стоит практическая польза: завоевание новых рынков и групп потребителей, более быстрое и эффективное выполнение процессов, сокращение количества персонала. Однако кто позаботится о дополнительных рисках, неизбежно связанных со все расширяющимися возможностями? Сегодня мы с воодушевлением отправляем электронные письма, носим ценную информацию, накопленную компанией в течение десятилетий, на флэш-карте USB, фотографируем новейшие прототипы при помощи мобильных телефонов и обсуждаем кадровую политику своего предприятия в Internet. Разрешенным кажется все, что явно не запрещено!

«Информационные технологии уж как-нибудь справятся — до сих пор все удавалось!» Многие предприятия по-прежнему относятся к информационной безопасности в соответствии с рецептами из ранней истории информационной техники, когда ИТ еще были изолированы в защищенных вычислительных центрах и пользователь обладал доступом только к устройствам ввода/вывода (см. врезку «Наиболее частые ошибки в безопасности ИТ»). Целью должна стать такая организация безопасности ИТ, которая работает эффективно, но при этом остается гибкой.

УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ ПО СТАНДАРТУ ISO 17799

Построение системы управления информационной безопасностью (Information Security Management System, ISMS) описывается в стандарте ISO/IEC 17799 (http://www.iso.org). Задача ISMS — систематизация потребностей систем ИТ, приложений и данных в защите и ее обеспечение при помощи специальных мер предотвращения неразрешенной деятельности.

Предприятие само решает, какие компоненты ИТ стоит принимать в рассмотрение и какой уровень безопасности должен быть достигнут. Последнее обеспечивается при помощи управляющего цикла: планирование/выполнение/проверка/действие (Plan/Do/Check/Act, PDCA) (см. Рисунок 1):

  • планирование — центральными компонентами фазы планирования являются формирование комплексов ИТ, определение уязвимых мест, а также анализ рисков для выявления дополнительных потребностей в защите;
  • выполнение — в фазе выполнения реализуются необходимые защитные меры. К ним относятся как технические системы безопасности, к примеру брандмауэры и фильтры контента, так и включение в операционную и организационную структуру (реализация системы управления информационной безопасностью, ISMS);
  • проверка — для проверки эффективности реализованной ISMS необходимо создать систему мониторинга, распознающую ошибки и актуализирующую оценки риска;
  • действие — в четвертой фазе ISMS улучшается и совершенствуется. При реализации системы обеспечения информационной безопасности ISO 17799 требуется соответствующая организация безопасности, а также создание политики безопасности. Большое значение для эффективности ISMS имеет систематический анализ потребности в защите, угроз и остаточных рисков. Помочь в этом может, к примеру, стандарт ISO/TR 13335.

Как вывод, ISO 17799 оставляет массу свободного пространства и по сути не предлагает конкретной помощи. Реализация ISMS в решающих фазах должна происходить при участии внешних консультантов.

УПРАВЛЕНИЕ БЕЗОПАСНОСТЬЮ В СООТВЕТСТВИИ С РУКОВОДСТВОМ ПО БАЗОВОЙ ЗАЩИТЕ ИТ

Руководство по базовой защите ИТ Федерального агентства по безопасности информационной техники включает в себя обширный каталог технических и организационных мер. Меры по управлению безопасностью ИТ содержатся в главе 3.0 (www.bsi.de/gshb/deutsch/baust/03000.html).

«Руководство по базовой защите ИТ» охватывает такие операции, как структурный анализ (описание систем ИТ), определение потребности в защите, выбор необходимых защитных мер из каталога (моделирование), проверка базовой безопасности и реализация мер обеспечения безопасности ИТ. Эти действия постоянно повторяются в рамках управляющего цикла для поддержания защитных мер на актуальном уровне и регулярной проверки их эффективности. Таким образом создается регулярный цикл для постоянного совершенствования мер защиты (см. Рисунок 2).

Преимущество принципов «Ру-ководства по базовой защите ИТ» заключается в их применимости к системам ИТ, приложениям и данным с низкой или средней потребностью в защите, для которых этот прагматический подход идеален. От проведения дополнительного анализа безопасности можно отказаться.

ОБЩИЕ ЧЕРТЫ

При построении системы управления безопасностью ИТ полезно рассмотреть оба подхода и адаптировать их к потребностям собственного предприятия. ISO 17799 лучше подходит для описания общих рамок, в то время как «Руководство по базовой защите ИТ» указывает путь к достижению базовой безопасности. Ответственный за безопасность ИТ совместно с руководством предприятия определяет политику безопасности ИТ и процесс защиты ИТ. Кроме того, в его обязанности входят разработка и реализация рекомендаций, к примеру директив об использовании паролей. При этом он может и должен обращаться к коллегам по ИТ. От руководства же предприятия требуется предоставить человеческие и финансовые ресурсы.

«Руководство по базовой защите ИТ» поддерживает ответственного за безопасность, предлагая ему меры в области организации безопасности ИТ, процессов, систем ИТ, платформ ИТ и баз данных. ISO 17799 предлагает основу для систематического построения управления безопасностью ИТ, в особенности для оперативных систем ИТ и приложений.

КОМПОНЕНТЫ УПРАВЛЕНИЯ БЕЗОПАСНОСТЬЮ ИТ

Гибкое и эффективное управление ИТ должно включать следующие элементы.

Политика безопасности ИТ. Руководство предприятия инициирует процесс обеспечения безопасности ИТ путем публикации политики безопасности ИТ, где описывается значение ИТ для предприятия, определяются общие цели безопасности и все работники призываются к участию. Одновременно детализируется роль ответственного за безопасность ИТ, ему даются необходимые полномочия для построения системы управления безопасностью ИТ.

Организация безопасности ИТ. Координируемое ответственным лицом распределение полномочий за безопасность ИТ интегрируется в существующие операционные и организационные структуры. При этом важно предотвратить построение теневой организации — необходимые специальные знания должны иметься непосредственно в соответствующем отделе.

Анализ рисков ИТ. Оценка значительных рисков проводится при помощи предварительного грубого анализа. После этого становятся известными важнейшие слабые места в системе обеспечения безопасности предприятия. Обладая соответствующими знаниями, можно определить контрмеры и реализовать их с учетом приоритетов. Результирующий набор рисков облегчает принятие решения и в отношении новых мер обеспечения безопасности, однако помогает и в определении эффективности таких мер, как обнаружение вторжений или управление инцидентами в области безопасности во время фазы разработки концепции путем моделирования их воздействия на остаточные риски.

Мониторинг и проверки. Важнейший инструмент мониторинга представляют собой регулярный аудит безопасности, результаты которого должны тщательно документироваться. Их следует дополнять непрерывным мониторингом системы с учетом сообщений национальной и международной группы компьютерной «скорой помощи» (Computer Emergency Readyness/Response Team, CERT). Для отправления сообщения об инциденте потребуется запустить процессы информирования и эскалации.

ВНЕШНИЕ КОНСУЛЬТАЦИИ

Эффективная система управления безопасностью ИТ стоит времени и денег. Тем важнее принимать реально необходимые меры и представлять себе точную картину остаточных рисков (см. Рисунок 3). Помочь в этом могут (квази-) стандарты, к примеру «Руководство по базовой защите ИТ» или ISO/IEC 17799 и ISO/TR 13335. Внешние консультанты позволят избежать ошибок и тем самым понизить стоимость.

Маркус Шефтер и Томас Штеркуль — консультанты из компании Secaron. С ними можно связаться по адресу: wj@lanline.awi.de.


Наиболее частые ошибки в безопасности ИТ

Незнание потребности в защите и рисков.
Размытые требования к безопасности ИТ.
Отсутствие методики.
Чрезмерное доверие к технике.
Недостаточная стандартизация.


? AWi Verlag