КЛАССИФИКАЦИЯ МЕТОДОВ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
© Сячина Т.Ю.*
Ассоциация по сертификации «Русский Регистр», г. Санкт-Петербург
В области информационной безопасности действуют основополагающие стандарты ISO серии 27000, которые формулируют требования к системе менеджмента информационной безопасности (СМИБ). Ряд дополняющих стандартов содержит свод правил по выбору методов и руководящих принципов для реализации СМИБ.
Предлагаемая в статье классификация, позволяет реализовать требования основополагающих стандартов, поддерживать и улучшать СМИБ конкретной организации.
В связи с распространением и освоением организациями систем менеджмента информационной безопасности практика, которая необходима для внедрения и поддержания таких систем, только начинает формироваться.
Существуют основополагающие и дополняющие стандарты для реализации требований в области информационной безопасности, самыми распространенными являются стандарты ISO серии 27000, которые предъявляют требования к системе менеджмента информационной безопасности [2] и содержат руководящие указания к построению, реализации и улучшению СМИБ [3-6]. Дополняющие стандарты содержат свод правил по выбору методов и руководящих принципов для реализации СМИБ, которые организация должна выбрать, исходя из специфики своей деятельности. Формирование системы методов менеджмента информационной безопасности позволит организациям реализовать требования основополагающих стандартов, поддерживать и улучшать систему.
Для системы менеджмента качества (СМК) в соответствии с ISO 9001 уже существует ряд подходов, которые применяются различными организациями и имеют практическую ценность. Согласованность стандартов ISO/IEC 27001 и ISO 9001 позволяет сделать вывод об идентичности структуры требований к СМК и СМИБ [2], принципов и методов, применяемых в данных системах.
Ключевым результатом процессов менеджмента ИБ является конфиденциальность, доступность, целостность информации, гарантия безопасности активов предприятия с использованием риск ориентированного подхода [1]. На основе данных понятий строится концепция системы менеджмента информационной безопасности и осуществляется подбор средств управления. Выбор методов менеджмента информационной безопасности
* Инженер направления ИТ и риск ориентированных стандартов.
должен осуществляться с этой же позиции - определение требований к конфиденциальности, целостности и доступности информации, оценке рисков, выбор методов, их применение, анализ и улучшение.
Методы менеджмента качества направлены на координацию деятельности по руководству и управлению организацией в области качества и могут быть разделены на три вида [11]:
1. Организационные - развертывание политики, организация кружков качества, «точно во время».
2. Инженерные - QFD, FMEA, SPC, метод Тагути, семь сложных статистических методов.
3. Простейшие методы - универсальные методы командного решения проблем, включая семь простых методов, метод «пять почему», алгоритмизация.
Данная классификация направлена на группировку методов с позиции способов повышения эффективности производства.
На рис. 1 приведена предлагаемая классификация методов в области менеджмента информационной безопасности с учетом [8-10, 12], включающая в себя:
1. Организационные методы [8-11].
2. Риск-ориентированные методы [1-3, 8-10].
3. Технические методы [9, 10].
4. Правовые методы [8, 12].
Методы менеджмента информационной безопасности
Организационные методы Риск-ориентированные методы Технические методы Правовые методы
■ Стратегические методы (НоэЫп Капгу, Политика в области СМИБ, планы по ИБ и др.).
■ Концепция информационной безопасности (философия).
■ Процессный подход.
■ Статистические методы.
■ Менеджмент ресурсов ИБ.
■ Базовый подход.
■ Неформальный.
■ Детальный анализ.
■ Комбинированный подход.
- Оценка угроз.
- Оценка уязвимо-стей.
- Идентификация активов.
- Оценка активов.
- Оценка рисков.
- Выбор защитных мер.
- Защитные меры.
- Криптографические методы.
- Методы обеспечения сетевой безопасности.
- Методы обеспечения физ. безопасности.
Требования законодательства в области ИБ (федеральные Законы, постановления, указы и прочее).
Рис. 1. Классификация методов менеджмента информационной безопасности
Организационные методы - это группа методов, включающая аспекты, которые основываются на принципе ответственности и приверженности руководства в области информационной безопасности. Применение методов включает анализ требований к информационной безопасности, разработку плана выполнения этих требований, управление и административный контроль над реализуемой системой информационной безопасности, определение целей и политики разработка стратегии в области ИБ и управления рисками [9].
Риск-ориентированные методы - группа методов, направленных на координацию деятельности по управлению и контролю за организацией в отношении рисков. Методы содержат основные подходы к оценке рисков и способах управления ими с учетом направления деятельности организации и её организационной структуры [8-10].
Технические методы содержат различные практики по управлению информационной безопасностью (средства управления) для достижения целей управления в случае возникновения риска. Защитные меры позволяют обеспечить информационную безопасность, уменьшить уязвимости, ограничить воздействие инцидентов и облегчить восстановление активов. Технические методы являются инструментарием для осуществления организационных и риск-ориентированных методов, так как подразумевают комплекс действий, механизмов, которые направлены на защиту информационной безопасности техническими способами [2].
Правовые методы помогают поддерживать функционирование СМИБ на основе реализации правовых норм по информационной безопасности. Правовое направление основывается на государственной политике в области информационной безопасности, основных правилах и процедурах обязательной сертификации средств защиты информации и правилам аттестации объектов, правилах лицензирования и технической защиты конфиденциальной информации; формах ответственности за нарушение правовых и нормативных требований ИБ [8; 12, с. 50].
В табл. 1 приведены соотношения между требованиями [2] к СМИБ и предложенными группами методов.
Таблица 1
Согласованность требований ISO/IEC 27001 и методов менеджмента ИБ
Название группы методов Требование КО/1ЕС 27001:2005 Пункт КОЛЕС 27001:2005
Организационные методы Система менеджмента информационной безопасности п. 4
Политика безопасности А. 5
Организация информационной безопасности А. 6
Ответственность руководства п. 5
Менеджмент активов А. 7
Вопросы безопасности, связанные с персоналом А. 8
Внутренние аудиты п. 6
Анализ СМИБ со стороны руководства п. 7
Улучшение СМИБ п. 8
Продолжение табл. 1
Название группы методов Требование КО/1ЕС 27001:2005 Пункт КОЛЕС 27001:2005
Риск-ориентированные методы Подход к оценке риска п. 4.2.1 с)
Идентификация рисков п. 4.2.1. d)
Анализ и оценка рисков п. 4.2.1 е)
Возможности обработки рисков п. 4.2.1
Цели и средства управления для обработки рисков п. 4.2.1 я)
Заявление о применимости п. 4.2.1 j)
Технические методы Физическая безопасность и защита от воздействия окружающей среды А. 9
Системы связи и эксплуатация А. 10
Контроль доступа А. 11
Приобретение, разработка и обслуживание информационных систем А. 12
Инциденты ИБ А. 13
Непрерывность бизнеса А. 14
Правовые методы Соответствие требованиям А. 15
Все группы методов менеджмента информационной безопасности имеют общие компоненты (табл. 2), среди которых процессных подход, лидерство руководства, документация СМИБ (рис. 2) и другие [2, 8, 9]. Применение процессного подхода в СМИБ предоставляет основу управления информационной безопасностью для определения оценки рисков, построения и реализации безопасности активов, менеджмента и постоянного улучшения системы. Достижение результата (выход процесса) СМИБ можно получить, применяя указанные методы совместно или по одному.
Таблица 2
Области пересечения групп методов менеджмента информационной безопасности
Организационные методы Риск-ориентированные методы Технические методы Правовые методы
Лидерство руководства
Процессный подход
Политика в области менеджмента ИБ, планы, цели, процедуры, стратегические методы, концепция ИБ
Менеджмента ресурсов
Статистические методы
Менеджмент рисков
Защитные меры Требования законодательства в области ИБ
Базовый подход к оценке рисков Системы безопасности
Неформальный подход к оценке рисков Криптографические методы
Детальный анализ оценки рисков Методы обеспечения сетевой безопасности
Комбинированный подход к оценке рисков Методы обеспечения физ. безопасности
Особо важными для руководства организации в области СМИБ являются статистические методы (рис. 2). Стандарт КОЛЕС 27001требует поддерживать и улучшать СМИБ посредством мониторинга и оценки функционирования системы. Для такого анализа необходимы записи и свидетельства мониторинга и измерений СМИБ, которые при помощи применения статистических методов станут основой для разработки корректирующих и предупреждающих действий для постоянного улучшения, и принятого на объективных результатах анализа. Статистические методы являются общим компонентом всех групп методов менеджмента информационной безопасности, они применяются при оценке риска, при тестировании защитных систем ИБ и программного обеспечения, при аттестации объектов, лицензировании и технической защите конфиденциальной информации.
Рис. 2. Статистические методы как общий элемент менеджмента информационной безопасности
Статистические методы в СМИБ ещё не получили широкого распространения, в отличие от применения в системах менеджмента качества. Использование данных методов позволяет специалистам принимать обоснованные управленческие решения, подкрепленные количественными данными.
В то же время необходимо отметить, что методы менеджмента информационной безопасности имеют общие компоненты, которые могут применяться в различной последовательности (рис. 2). Связь методов менеджмента информационной безопасности с международным стандартом КОЛЕС 27001 предполагает построение организацией цепочки процессов СМИБ.
Статистические методы
Правовые методы
Список литературы:
1. ИСО/МЭК 27000:2012 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Общее представление и словарь».
2. ИСО/МЭК 27001:2005 «Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
3. ИСО/МЭК 27002:2005 «Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью».
4. ИСО/МЭК 27003:2010 «Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности».
5. ИСО/МЭК 27004:2009 «Информационные технологии. Методы обеспечения безопасности. Измерение эффективности системы управления информационной безопасностью».
6. ИСО/МЭК 27005:2008 «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности».
7. ИСО 9001:2008. «Системы менеджмента качества. Требования».
8. ГОСТ Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования. Общие положения».
9. ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология -Методы и средства обеспечения безопасности - Часть 1: Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
10. ГОСТ Р ИСО/МЭК 13335-3-2007 «Информационная технология -Методы и средства обеспечения безопасности - Часть 3: Методы менеджмента безопасности информационных технологий».
11. Балукова М.В. «Петербургские тайны» качества // Методы менеджмента качества. - 2006. - № 1. - С. 57-58.
12. Крат Ю.Г., Шрамкова И.Г. Основы информационной безопасности: учеб. пособие. - Хабаровск: Изд-во ДВГУПС, 2008. - 112 с.
13. Петренко С.А. Возможная методика построения системы информационной безопасности предприятия [Электронный ресурс]. - Режим доступа: www.bre.ru/security/13985.html (дата обращения: 27.11.12).