CC BY
136
УДК 005:004
ФОРМИРОВАНИЕ МОДЕЛИ ОЦЕНКИ РЕЗУЛЬТАТИВНОСТИ
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ И ПРЕДПРИЯТИЙ РОССИИ
DEVELOPING A MODEL FOR ASSESSING THE EFFICIENCY OF INFORMATION SECURITY MANAGEMENT SYSTEMS AT ORGANIZATIONS AND BUSINESSES IN RUSSIA
Гугелев Александр Владимирович
Gugelev Alexander Vladimirovich
доктор экономических наук, профессор, завкафедрой менеджмента ССЭИ (филиал) РЭУ им. Г.В. Плеханова, г. Саратов
PhD (Economics), professor, head of the department of management, Saratov socio-economic institute (branch) of Plekhanov Russian University, Saratov
e-mail: Gugelev@ssea.runnet.ru
Можаев Олег Александрович
Mozhayev Oleg Alexandrovich
руководитель ОС СМИБ и СЭМ AHO «ИнИС ВВТ», кандидат технических наук, г. Москва
Head of Certification Center for Information Security Management System and Nonprofit Organization of Ecological Management System "Institute of Certification and Inspection of Weapons and Military Equipment", Cand. Sc. (Technical Sciences), Moskow
e-mail: moa@inis.ru
В статье рассмотрен научно-методологический аппарат для оценивания взаимосвязанных мер и средств контроля и управления информационной безопасностью. Дан развернутый обзор понятийного аппарата информационной безопасности, требований нормативно-правовых документов, регламентирующих СМИБ, и достигнутых результатов в практике ИБ. На основе проведенного анализа отечественной и зарубежной практики определены основные направления развития СМИБ.
Ключевые слова: информационная безопасность, нормативная база, терминология, мониторинг.
The paper considers scientific and methodological apparatus for assessing integrated measures and tools of information security management. The authors present a detailed review of the conceptual apparatus of information security system, requirements of normative documents regulating the ISMS, and practical results achieved in the sphere of information security. Having analyzed Russian and foreign practice of ISMS the authors identify major trends in ISMS development.
Keywords: information security, regulatory framework, terminology, monitoring.
Система менеджмента информационной безопасности (СМИБ) - часть общей системы менеджмента организации, основанная на подходе бизнес-рисков по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности (ИБ) [ю; 11].
Для получения достоверной информации о состоянии СМИБ необходимо проводить постоянный мониторинг и анализ системы, в ходе которого производится оценивание состояния системы. Усложнение СМИБ приводит к необходимости совершенствования научно-методического аппарата оценивания
данных систем. Эффективность мероприятий, связанных со сбором и обработкой информации о системе, определяется качеством оценок показателей СМИ Б, а точнее результативностью СМИБ (ЯСМИБ), к затраченным ресурсам на проведение измерений. Организация проведения измерений, как показывает практика, оказывает существенное влияние на СМИБ. Однако в большинстве случаев ресурс, выделяемый для мониторинга и анализа состояния СМИБ, распредел яется на основе имеющегося опыта персонала службы ИБ, руководств и нормативно-правовых документов организации.
Оценивание является важным этапом в циклической взаимосвязи видов деятельности ЯСМИБ, в ходе которого определяется соответствие системы заданным требованиям ИБ организации или другим требованиям. Исходя из анализа текущей практики оценивания эффективности СМИБ, можно утверждать, что в большинстве случаев проводится независимое оценивание отдельных атрибутов ИБ без учета их взаимодействия. В ходе измерений атрибутов не учитывается наличие неопределенности стохастического характера. Отсутствует научно-методологический аппарат для оценивания взаимосвязанных мер и средств контроля и управления ИБ. В конечном итоге оценка показателей результативности СМИБ (ЯСМИБ) сводится к оценке «хорошо - плохо». Поэтому совершенствование методологического аппарата оценивания СМИБ является актуальной задачей и достигается за счет учета стохастических факторов и ввода обоснованных показателей Я СМ И Б в условиях ограничений, накладываемых временными и стоимостными затратами на проведение проверок состояния СМИБ. При этом под НС МИ Б понимается достоверность и точность оценок определяемых характеристик. Ограничение материально-технического обеспечения, выделяемого для проверок СМИБ, оказывает существенное влияние на эффективность СМИБ (\УСМИБ), как результирующую от ЯСМИБ, что влечет за собой принятие необоснованного решения о соответствии СМИБ требованиям ИБ организации или требованиям ГОСТР 180/1ЕС 27001.
Разработка научно-методологического аппарата оценивания СМИБ основана на комплексном подходе к менеджменту информационной безопасности, связанном с мониторингом и анализом деятельности СМИБ и направленном на совершенствование СМИБ. Необходимо решить следующие задачи:
1) провести анализ требований, предъявляемых к СМИБ, архитектуры построения, практики оценивания показателей ЯСМИБ, рас-
смотрение ряда нормативно-правовых документов и стандартов по защите информации, исследование рисков информационной безопасности СМИБ и определение перспективных направлений развития СМИБ;
2) разработка нового интегрального показателя эффективности СМИБ;
3) разработка методологического аппарата расчета интегрального показателя эффективности СМИБ;
4) рассмотрение с единых системных позиций процесса распределения ресу рса, назначаемого для проведения измерений атрибутов СМИБ;
5) оценивание результатов применения разработанного интегрального показателя эффективности СМ ИБ и разработанных методов.
При этом необходимо учитывать, что:
1) интегральный показатель эффективности СМИБ, позволяет повысить WCMHB;
2) модели позволяют осуществлять прогнозирование состояния СМИБ, проводить изучение процессов, протекающих в СМИБ;
3) методика расчета интегрального показателя WCMHB;
4) методика планирования распределения ресурса, назначаемого для проведения измерений показателей WCMHB, позволяет обоснованно и рационально распределять выделенный ресурс.
Международный стандарт ISO/IEC 27000:2013 Information security management systems - Overview and vocabulary (Системы менеджмента информационной безопасности. Общий обзор и терминология) дает следующее определение: «система менеджмента информационной безопасности (СМИБ) (information security management system, ISMS) -часть общей системы менеджмента организации, основанная на подходе бизнес-рисков по созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению информационной безопасности (ИБ)» [ю; 3; 91-
Для полного и разностороннего представления о том, что представляет собой система менеджмента информационной безопасности, необходимо разобраться в понятийном аппарате информационной безопасности.
Сейчас сложно представить себе какую-нибудь сферу деятельности человечества, в которой бы обходились без информационных технологий (IT), без автоматизации каких-либо процессов. В инфраструктуре большинства организаций эксплуатируются автоматизированные системы (АС), широко используются сетевые технологии, базы данных, электронный документооборот. Информационные по-
токи, циркулирующие в АС организации, зачастую содержат коммерческую тайну, персональные данные и другую служебную информацию организации [6]. Соответственно, чем шире в компании используются информационные технологии, чем крупнее компания, тем более остро стоит для нее вопрос информационной безопасности [7; 8].
Наиболее распространенное определение информационной безопасности дают стандарты ISO/IEC:
- информационная безопасность (information security) - сохранение конфиденциальности, целостности и доступности информации [10, И];
- конфиденциальность (англ. confidentiality) — свойство информации быть недоступной и закрытой для неавторизованных лиц, субъектов или процессов [ю; 3];
- целостность (англ. Integrity) - свойство сохранения правильности и полноты активов
[ю; 3];
- доступность (англ. availability) - свойство быть доступным и готовым к использованию по запросу авторизованного субъекта [ю; з].
Информация, которой владеет организация, является объектом угроз атаки, ошибки, воздействия природных и техногенных факторов (например, наводнения или пожара), воздействия злоумышленников и т. д. Термин «информационная безопасность» относится к информации как к активу, у которого есть ценность, требующая соответствующей защиты. Эффективность работы организации напрямую зависит от обеспечения возможности санкционированного и своевременного получения точной и полной информации [6; 9].
Для достижения организацией своих целей, сохранения деловой репутации, соблюдения законодательства Российской Федерации она должна осуществлять защиту информационных активов посредством определения, достижения, поддержания и улучшения ИБ. Оценка рисков ИБ и реализация необходимых средств управления выступают элементами менеджмента ИБ.
В связи с динамическим изменением внешних и внутренних факторов, воздействующих на ИБ, организациям необходимо управлять И Б посредством:
a) контроля и оценки эффективности имеющихся средств управления и процедур ИБ;
b) идентификации новых рисков и их оценки;
c) выбора, реализации, анализа и улучшение средств управления ИБ.
Для достижения поставленных целей и эффективной реализации политик ИБ, для координации усилий в сфере ИБ организации необходимо построение системы менеджмента ИБ.
В ряде уже выполненных авторами работ выделяются основные этапы создания и использования системы безопасности [и; 2; 9; 1; 4].
1. Определение требований защиты конкретного объекта или системы.
2. Использование рекомендаций национальной и международной нормативно-правовой и научной баз.
3. Использование наработанных практик (стандарты, методологии) построения подобных систем безопасности.
4- Определение ответственных лиц за реализацию и поддержание системы безопасности.
5. Распределение между ответственными лицами задач систем безопасности.
6. Исходя из внешних и внутренних факторов, влияющих на организацию, создание Политики ИБ объекта или системы, в которой определены общие положения, руководства по обеспечению ИБ, технические и организационные требования.
7. Реализация указаний и требований Политики ИБ с использованием внедрения аппаратно-программных комплексов, введения различных инструкций.
8. Внедрение системы управления информационной безопасностью.
д. Обеспечение контроля эффективности СМИБ, а так же использование процессов, инструкций по пересмотру и улучшению системы безопасности.
Следуя классическому циклу РОСА, построение СМИБ начинается с этапа «Планирование», в котором проводится оценка состояния ИБ с учетом угроз и уязвимостей, связанных с информационными активами организации. Проводится выбор необходимых мер и средств контроля и управления, определяются цели применения мер и средств контроля и управления И Б, а также мер и средств контроля и управления для обработки рисков.
На этапе «Внедрение» проводится внедрение выбранных мер и средств управления и контроля для достижения целей ИБ, определяется способ измерения результативности СМИБ, проводятся измерения мер и средств управления и контроля.
На этапе «Проверка» осуществляется анализ результативности СМИБ, производится пересмотр оценки рисков с учетом результативности СМИБ, производится подтверждение эффективности СМИБ с учетом результа-
тов предыдущих аудитов, определяются направления совершенствования СМИБ, формируются исходные данные для принятия решения по усовершенствованию СМИБ, развитию способов оценивания результативности мер и средств управления и контроля.
На последнем этапе «Действие» проводится реализация принятых решений по улучшению СМИБ.
Требования, предъявляемые к СМИБ, даны в линейке стандартов 180/1ЕС 27000, в которой определены понятийный аппарат, терминология, методология построения и деятельности СМИБ. Стандарты серии 27000 являются наиболее известными и широко используемыми.
Назначение СМИБ, цели, понятия описываются в международном стандарте 180/1ЕС 27001. Данный документ переведен на русский язык и принят как государственный стандарт Российской Федерации ГОСТ Р 180/1ЕС 27001 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования», что говорит о его значимости. Так же в этом стандарте прописаны основные требования по созданию, улучшению и обеспечению СМИБ.
Согласно 180/1 ЕС 27001 цель СМИБ - выбор соответствующих мер управления безопасностью, предназначенных для защиты информационных активов и гарантирующих доверие заинтересованных сторон.
Помимо 180/1ЕС 27001, описывающего основные требования к СМИБ, в линейку 27000 входят следующие основные стандарты:
- КЗО/1ЕС 27000 «Информационные технологии. Методы обеспечения безопасности. Общий обзор и терминология»;
- 180/1ЕС 27002 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью». Этот стандарт является наследником стандарта 180/1ЕС 17799-Переведенная версия данного документа является государственным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 17799 «Информационные технологии. Практические правила управления информационной безопасностью»;
- КОДЕС 27003 «Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению Системы Менеджмента Информационной Безопасности»;
- ШО/1ЕС 27004 «Информационные технологии. Методы обеспечения безопасности. Измерения»;
- 150/1ЕС 27005 «Информационные технологии. Методы обеспечения безопасности.
Управление рисками информационной безопасности»;
- ISO/IEC 27006 «Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасности»;
- ISO/IEC 27007 «Информационные технологии. Методы и средства обеспечения безопасности. Руководство по аудиту СМИБ»;
- ISO/IEC 27011 «Информационные технологии. Методы обеспечения безопасности. Руководство по организации систем менеджмента информационной безопасности в телекоммуникационных организациях».
ISO/IEC 27000 является обзорным документом, в котором описывается семейство стандартов, а также содержатся термины и определения. Основными (обязательными) стандартами в серии являются ISO/IEC 27001, в котором содержатся требования, предъявляемые к СМИБ, и ISO/IEC 27006, в котором описываются требования к организациям, осуществляющим аудит и сертификацию СМИБ. Далее идут документы, в которых описаны рекомендации по управлению, внедрению, управлению рисками, проведению аудита и измерений.
Данная серия стандартов не единственная, в которой отражены принципы построения СМИБ. Во многих странах существуют требования, которые указывают на использование мер по обеспечению безопасности, и так же существуют методические указания по контролю эффективности этих мер. В первую очередь, хорошая нормативная база по данному вопросу и в целом по вопросам ИБ существует в странах Организации экономического сотрудничества и развития (ОЭСР - OECD), так как активное использование IT и средств автоматизации началось в этих странах уже в 8о-х гг. XX в. Например, в Великобритании уже в 1984 г. был принят закон о защите данных, в котором выделена тема обеспечения ИБ.
Среди зарубежных стандартов можно выделить такие документы, как: семейства SP 800 - XX национального института стандартов и технологий США (NIST), в частности NIST SP 8оо - 53 «Рекомендации по использованию средств управления информационной безопасностью в федеральных информационных системах и организациях», а так же, пакет документов по программе «Федеральный закон о менеджменте информационной безопасности» (Federal information security management act; FISMA).
FISMA - это государственная, системообразующая программа, объединяющая усилия
всех государственных структур США по организации управления ИБ. Эта иерархическая программа содержит информацию о направлении развития ИБ в масштабах государства, требования по мерам управления и контроля ИБ, правилам оценки состояния ИБ и т. д., которые подлежат неукоснительному исполнению в государственных организациях.
Документ NIST SP 800-137 «Организация непрерывного мониторинга информационной безопасности в Федеральных информационных системах и Организациях» («Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations») описывает методы построения системы непрерывного сбора информации о состоянии ИБ и самооценки информационных систем. В документе представлена типовая схема построения системы подобной СМИБ [12].
В Российской Федерации нормативно-правовая база по построению СМИБ только развивается, и за основу взяты документы семейства ISO/IEC 27000, также нередко используются наработки NIST.
Из отечественных нормативных документов из области ИБ нормативные документы ФСТЭК - одного из государственных регуляторов в области ИБ - представляют особый интерес.
1. Приказ ФСТЭК России № 17 от 11 февраля 2013 г. «Об утверждении Требований о защите информации, не составляющей государственную тайну7, содержащейся в государственных информационных системах», в котором описаны принципы управления ИБ в государственных информационных системах, и вводятся меры контроля ИБ.
2. Приказ ФСТЭК России № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» определяет меры контроля и управления ИБ
в системах обработки персональных данных.
3. Приказ ФСТЭК России № 31 от 14 марта 2014 г. «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды», вводящий требования по защите информации в АСУ предприятий опасных производств.
Итак, подводя итог требованиям нормативно-правовых документов, регламентирующих СМИБ, и достигнутых результатов в практике ИБ можно определить основные направления развития СМИБ.
1. Автоматизация способов сбора информации о состоянии ИБ и характеристиках СМИБ.
2. Создание единого формально-логического протокола обмена данными о состоянии И Б как внутри СМИБ, так и между другими, взаимодействующими между собой на платформе внедряемых ИТ, системами менеджмента.
3. Создание единых требований к системам менеджмента информационной безопасности автоматизированных систем управления различного формата, платформы и профиля в рамках государственной федеральной программы.
4. Развитие и совершенствование мер управления и контроля ИБ, создание единой библиотеки типовых инструментов контроля ИБ.
5. Развитие и совершенствование методологического аппарата анализа и оценивания СМИБ.
6. В рамках государственной поддержки создание «Единой телекоммуникационной системы автоматизированного мониторинга и управления качеством продукции предприятий и организаций, выполняющих государственный оборонный заказ».
Библиографический список (References)
1. Бушуев А.Н., Гугелев А.В. Применение ISO/IEC 17021:2011 при сертификации корпоративных стандартов // Вестник Саратовского государственного социально-экономического университета. 2014. № 2 (51). С. 38-42.
Bushuyev A.N., Gugelev A.V. (2014) Primeneniye ISO/IEC 17021:2011 pri sertifikatsiikorporativnykhstan-dartov [Application of ISO / IEC 17021: 2011 standards for certification of corporate guidelines] // Vestnik Sarato-vskogo gosudarstvennogo sotsiarno-ekonomicheskogo universiteta. № 2 (51). P. 38-42.
2. ГОСТ P ИСО/МЭК 27003-2012. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности. Введ. 01.01.2014. М. : Госстандарт России. 95 с.
GOST RISO/MEK 27003-2012. Metody i sredstva obespecheniya bezopasnosti. Sistemy menedzhmenta infor-matsionnoy bezopasnosti. Rukovodstvo po realizatsii sistemy menedzhmenta informatsionnoy bezopasnosti. Vved.
01.01.2014 [GOST R ISO / IEC 27003-2012. Methods and tools of providing security. Information security management systems. Guidelines for information security management systems. Introduced on 01.01.2014.]. Moscow: Gosstandart Rossii.
3. Гугелев A.B. Система терминов для системы менеджмента качества // Стандарты и качество. 2005. № 8. С. 70.
Gugelev A.V. (2005) Sistema terminer dlya sistemy menedzhmenta kachestva // Standarty i kachestvo [The system of terminology for quality management system], № 8. P. 70.
4. Гугелев A.B., Хаценко A.H. Моделирование централизации управленческих процессов регулирования качества продукции в целях оптимизации // Вестник Саратовского государственного социально-экономического университета. 2015. № 5 (59)- С. 84-86.
Gugelev A.V., Khatsenko A.N. (2015) Modelirovaniye tsentralizatsii upravlencheskikh protsessov regu-lirovaniya kachestva produktsii v tselyakh optimizatsii [Simulation of centralization of quality control management processes for the purpose of optimization] // Vestnik Saratovskogo gosudarstvennogo sotsiarno-ekonomicheskogo universiteta. № 5 (59). P. 84-86.
5. Куканова H. Защита информации // Инсайд. 2007. № 1. С. 34
Kukaiiova N. (2007) Zashcliita informatsii [Information security] // Insayd. № 1. P. 34
6. Пилипенко. В.Ф. Безопасность: теория, парадигма, концепция, культура. Словарь-справочник. 2-е изд., доп. и перераб. М. : ПЕР СЭ-Пресс, 2005.
Pilipenko. V.F. (2005) Bezopasnost': teoriya, paradigma, kontseptsiya, kul'tura. Slovar'-spravochnik. 2-ye izd., dop. i pererab [Security: theory, paradigm, concept, culture. Reference book. 2nd ed.,ext. and rev.]. Mosocw : PER SE-Press.
7. Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
Postanovleniye Pravitel'stva Rossiyskoy Federatsii ot 1 noyabrya 2012 g. № 1119 «Ob utverzhdenii trebovaniy k zashchite personal'nykh dannykh pri ikh obrabotke v informatsionnykh sistemakh personal'nykh dannykh» [Resolution of the Government of the Russian Federation from November 1, 2012 № 1119 "On requirements for the protection of personal data during processing in information systems of personal data"].
8. Федеральный закон Российской Федерации от 26 июля 2006 г. № 152-ФЗ «О персональных данных».
Federal'nyy zakon Rossiyskoy Federatsii ot 26 iyulya 2006 g. № 152-FZ «O personal'nykh dannykh» [Federal
Law of the Russian Federation of July 26, 2006 № 152-FZ "On personal data".].
9. Шаго Ф.Н., Зикратов И.А. Методика оптимизации планирования аудита системы менеджмента информационной безопасности // Научно-технический вестник информационных технологий, механики и оптики. 2014. № 2 (90). С. Ш-118.
Shago F.N., Zikratov I.A. (2014) Metodika optimizatsii planirovaniya audita sistemy menedzhmenta infor-matsionnoy bezopasnosti [Methods for optimization of planning the auditing of information security management system] // Nauchno-teklmicheskiy vestnik informatsionnykh tekhnologiy, mekhaniki i optiki. № 2 (90). P. 111-118.
10. ISO/IEC 27000:2013, Information security management systems - Overview and vocabulary (Система менеджмента информационной безопасности. Общий обзор и терминология). Международный Стандарт. Первое издание. 2013. 25 с.
11. ISO/IEC 27001:2013, Information security management systems - Requirements. (Система менеджмента информационной безопасности. Требования). Международный Стандарт. Первое издание. 2013. 23 с.
12. NIST SP 800 - 137 Information Security Continuous Monitoring for Federal Information Systems and Organizations. 2011. URL: http://csrc.nist.gov/publications/nistpubs/800-i37/SP800-i37-Final.pdf.
