CC BY
78
--------------------------------------- © С.С. Барбашин, В.И. Карпова,
С. С. Марчуков, А. С. Хаитова,
2008
УДК 346.548:343.143
С. С. Барбашин, В.И. Карпова, С. С. Марчуков,
А. С. Хаитова
МЕТОДОЛОГИЯ ТОТАЛЬНОЙ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ. Статья 2
(Начало в ГИАБ № 9 с. 192-199)
Рассмотрены принципы, методы и практика построения системы управления информационной безопасностью (СУИБ) на основе требований МС ИСО 27001:2005 по методологии ББ1, раскрыты недостатки данной практики и предложен альтернативный подход.
Семинар № 11
~П предыдущей статье был сделан
-Я-М вывод о том, что создание СУИБ на основе господствующего подхода находится в кризисе. С нашей точки зрения, причины кризиса очень глубокие. Для выхода из него требуется разработать новую идеологию информационной безопасности и принципиально новую методологию создания СУИБ.
Небольшое отступление. Непонятно, почему британский стандарт был выбран в качестве базы для стандарта ИСО по ИБ. В мире гораздо более распространены американские стандарты, авторитетом пользуются австралийский и канадский стандарты. Не отличается особенным благополучием состояние дел в области ИБ в самой Великобритании. Например, сообщений об аналогичных скандалах в области ИБ в Австралии или Канаде в прессе нет.
Самой важной причиной кризиса, с нашей точки зрения, является то, что стандарт ¡БОЛЕС 27001:2005 не соответствует требованиям, которые бизнес предъявляет к СУИБ - «нужна такая СУИБ, которая не душит бизнес, обеспечивая при этом приемлемый уровень защиты информации» (прямая цитата
руководителя организации, контролирующей 1 % национального богатства РФ).
Для разработки путей решения этой задачи рассмотрим условия, в которых работают отраслеобразующие предприятия.
Важно отметить, что те способы управления, которые эффективно работали в 80-е и 90-е годы, сегодня не работают [5]. Особенно это видно на примере финансовой сферы. Было время, когда управление финансами превратилось в один из разделов математики. Прозрение наступило в 1998 году, когда организация, в которой работали лауреаты Нобелевской премии в области экономики за 1998 год, едва не разорилась из-за того, что использовала на практике их теоретические выкладки.
По оценке, содержащейся в [4], вероятность того, что компания в 21-ом веке сохранит стабильность в течение года, очень мала. «В этом мире, чтобы оставаться на месте, надо очень сильно бежать вперед». Компания либо деградирует, либо растет.
Получает все большее признание теория хаоса. Основным положением
теории хаоса является положение о том, что изменения в окружающей и внутренней среде компании трудно предсказуемы, и основным рецептом выживания компании является непрерывный сбор всей значимой информации о текущем состоянии, ее анализ и совершенствование системы управления, приспособление ее к изменяющимся условиям.
Основные изменения накапливаются в технологиях проектирования и применяемых средствах. В нашей стране непрерывно изменяется еще и законодательная среда. В любой момент на рынок может прийти продвинутый западный конкурент. Недостаток квалифицированных человеческих ресурсов стал основной проблемой для всех успешных компаний. Для России острота проблемы усугубляется еще и тем, что в 90-е годы многие специалисты ушли из профессии, а система образования разваливается. Сильна возросла сложность реализуемых проектов. По опросам, проведенным авторами, нередки случаи, когда глобальные общенациональные проекты в буквальном смысле держатся на одном человеке. Нередки случаи, когда теряется контроль над технической стороной подобных проектов.
На сегодняшний день признается, что основной угрозой для предприятий в области ИБ являются внутренние угрозы [1, 2]. В прессе регулярно появляются публикации о том, что наибольший эффект можно получить при защите, прежде всего, нематериальных активов
[3]. Это подтверждают следующие факты. За последние два года не было никакой значимой вирусной эпидемии, подобной эпидемии 2001 года, когда ущерб составил сотни миллионов долларов. При этом, например, компания Лукойл только в декабре 2007 г., по оценке газеты «Ведомости», понесла
ущерб в объеме более 1 млрд дол. из-за информации, что ее система отчетности недостоверна (интересно, СУИБ Лу-койл-Информа занимается ли защитой репутации материнской компании? Если да, то какие превентивные меры были приняты?). Альфа-Банк едва не рухнул из-за слухов о проблемах с ликвидностью. Памятное синяком под глазом президента США дело о банкротстве Епгоп произошло из-за несовершенства системы бухгалтерской отчетности. Список можно продолжать.
Все эти факты доказывают несоответствие стандарта ¡БОЛЕС 27001:2005 и предлагаемой методологии современной ситуации. В лучшем случае, эти подходы и принципы подходили для 90х годов.
Все эти положения и факты привели нас к выводу - СУИБ должна меняться если не быстрее организации, то наверняка не медленнее. При этом негибкая СУИБ с большой долей вероятности может привести к краху всей организации. В свете положений теории хаоса, с нашей точки зрения, основной задачей СУИБ является обеспечение наличия информации там, где она нужна, в необходимом и достаточном объеме при соблюдении мер защиты.
Мы пришли к следующему пониманию цели СУИБ: целью СУИБ является создание и поддержание условий для устойчивого развития.
Очень важно, что данное определение включает в себя определение из стандарта ¡БОЛЕС 27001:2005 о том, что цель СУИБ - это защита информации.
Новое определение цели СУИБ вызвало потребность в пересмотре базовых подходов, сформулированных в ¡БОЛЕС 27001:2005, и разработке собственной методологии. Начнем с определений. Так, определение понятия «информация» в ¡БО 17799:2005 как ценного для
организации актива явно некорректно. Понятно, что информация - это актив, но данное определение подходит и для оборудования, и для мебели и т.п. Куда лучше определение, используемое в теории защиты информации, которые мы позволили себе немного уточнить.
Определение: информация - это
сущность объекта управления, представленная в форме, пригодной для ее использования в контуре управления, для достижения целей управления. (В оригинале вместо «сущности» используются понятия «данные» и сведения».)
Заметим, что это определение включает в себя определение из стандарта ¡БО 17799:2005. Подобное определение позволяет использовать следующие метрики информации, определенные в теории защиты информации: важность, полнота, адекватность, релевантность, толерантность.
Соответственно, целью создания СУИБ становится создание системы, поддерживающей данные метрики на заданном уровне. К сожалению, это достаточно сложно из-за трудностей определения желаемого уровня метрик, хотя существуют способы определения математических оценок для каждой из перечисленных метрик.
Стандарт ¡БОЛЕС 27001:2005 под уровнем зрелости СУИБ понимает степень соответствия требованиям стандарта. Данную оценку производит аудитор сертифицирующего органа. Разговор с одним из руководителей серторгана о том, что оценка не может быть корректной, т.к. аудитор не идеален, вызвал полное непонимание и заявление, что наши аудиторы самые лучшие.
Формулировка «основной задачей СУИБ является создание условий для устойчивого развития» позволяет ввести количественную оценку уровня зрелости СУИБ. Очевидно, что развитие
можно измерять в деньгах, и это хорошо согласуется с мнением лауреата Нобелевской премии американца Гудмена
[4], доказавшего, что единственной целью существования коммерческого предприятия является получение прибыли. Очевидно, что определение вызывает конфликт между специалистами по ИБ и, например, маркетологами (каждый хочет записать успех на свой счет). Но эта проблема оказалась вполне решаемой. Для некоммерческих организаций ситуация сложнее, хотя развитие можно мерить, например, степенью использования основного ресурса в полезных целях. Для космоса такой метрикой может быть, например, процент времени космонавтов, уходящий на эксперименты (по сообщениям иностранной печати он составляет 2-3 % от общего времени).
Следующим «врожденным пороком» стандарта ¡БОЛЕС 27001:2005 является отсутствие его согласованности с требованиями стандарта ¡БО 9001:2000. Любой, кто знаком с ¡БОЛЕС 27001:2005, скажет, что здесь вы не правы, в стандарте ¡БОЛЕС 27001:2005 утверждается, что его положения гармонизированы с требованиями стандарта ¡БО 9001:2000. С нашей точки зрения, это выражается только в том, что управление ИБ согласно стандарту ¡БОЛЕС 27001:2005 строится по циклу Деминга.
Вероятно, с точки зрения разработчиков стандарта ¡БОЛЕС 27001:2005, согласованность выражается еще и в том, что некоторые положения стандарта ¡БО 9001:2000, например, управление документацией, без изменений перенесены в стандарт ¡БОЛЕС 27001:2005. (Интересно, если они будут изменены в стандарте ¡БО 9001:2000, будет ли принята новая версия ¡БОЛЕС 27001:2005?). Такая «согласованность», с точки зрения работников бывшего Минсредмаша,
говорит о том, что вторичный документ в данном случае пытается регулировать то, что определено в головном стандарте. Никогда в Минсредмаше нормокон-троль такую пару «согласованных» документов не пропустил бы.
С нашей точки зрения, несогласованность выражается прежде всего в том, что невозможно сказать, где заканчиваются требования стандарта ¡БО 9001:2000 и где начинаются требования стандарта ¡БОЛЕС 27001:2005. Исходя из текстов стандартов, можно посчитать, что СУИБ может существовать без СМК (к чему приводит рассмотрение вопросов ИБ без учета состояния системы управления, рассмотрено в предыдущей статье). На такой вывод наводят цели создания СМК и СУИБ - в первом случае это управление деятельностью как процессами, а во втором - управление СУИБ на базе риск-менеджмента. Предлагаемый выход - отказ от рассмотрения СУИБ вне контекста системы управления, четкое разделение, в каких случаях нужно использовать положения стандарта ¡БО 9001:2000, а в каких - стандарта ¡БОЛЕС 27001:2005. Этот подход с неизбежностью ведет к созданию новой версии стандарта по ИБ.
Изменение идеологии привело нас к разработке новой методологии создания СУИБ. Если посмотреть рис. 3 из предыдущей статьи, то можно увидеть, что создание СУИБ начинается с аудита ИБ. Это является системной ошибкой. Начинать работы по созданию СУИБ с проведения аудита по ИБ, не понимая, для чего нужна СУИБ, некорректно. Ведь стандарт ¡БОЛЕС 27001:2005 требует определить бизнес-цели организации и в контексте бизнес-целей рассматривать аспекты ИБ.
С нашей точки зрения, построение СУИБ следует начинать с изучения сис-
темы управления предприятия, построения модели функционирования системы управления, после чего уже несложно определить, что следует защищать. Понятно, что данный подход является проектированием «сверху-вниз», которое всегда эффективнее проектирования «снизу-вверх», предлагаемого ВБ!
Ключевым моментом, определившим успех работ в целом, явилось создание адекватной модели системы управления. Для решения этой проблемы пришлось решить ряд достаточно сложных и трудоемких задач:
• разработать способ представления системы в компактной форме,
• научиться собирать и обрабатывать информацию об этой системе,
• научиться управлять организационной структурой предприятия.
Общеизвестно, что наилучшим способом для описания системы управления на верхнем уровне является методология ГОЕР0 [6]. Разработав на базе методологии ГОЕР0 свою собственную методологию разработки модели функционирования системы управления, мы получили следующую модель, приведенную на рис. 1. Данная модель является сильно упрощенным представлением модели реальной организации.
То, как разрабатывается данная модель, как собирается информация, является темой отдельной статьи. Пока можно отметить важные для ИБ моменты:
• модель отражает иерархичность процессов управления: более важные процессы располагаются выше по схеме,
• модель отражает информационные потоки,
• на модели нетрудно провести группировку процессов по таким важным для ИБ понятиям как среда разработки, среда тестирования, продуктовая среда,
• модель отражает вовлеченность в бизнес-процессы основного ресурса -человеческого,
• модель позволяет определить, что является внутренним информационным пространством компании и что является полным информационным пространством компании.
Представление системы управления в таком виде явно пригодно для принятия стратегических решений по управлению ИБ.
Следует отметить, что реальное описание содержит обычно 14-18 процессов. Несмотря на это усложнение, обычная реакция на подобную модель генеральных директоров компаний следующая: «так вот как она работает».
Общее время, уходящее на обследование организации численностью до 500 человек, составляет около двух месяцев, достоверность получаемого описания клиентами оценивается на уровне порядка 90 %, наша внутренняя оценка -70-80 %. Время на изучение принципов работы любого подразделения по разработанным описаниям сторонним специалистом составляет 5-10 мин.
Сравнивать эффективность данной модели с другими походами при разработке СУИБ не представляется целесообразным, т.к. декларируемые подходы к созданию СУИБ в принципе не содержат этапа разработки модели управления. Можно отметить, что на конференции «Infosecurity Russia 2007», проходившей 26-28 сентября 2007 г. в г. Москве, спе-циалисты всех компаний отмечали, что этот этап необходим, а представитель ЗАО «Инфосистемы Джет» утверждал в своем официальном выступлении, что создание СМК сильно упрощает задачу разработки СУИБ. О практической реализации подхода никто не сообщил.
Следует отметить, что создание модели функционирования организации в целом привело нас к еще одному важному выводу: СУИБ может быть только тотальной, т.к. в организации нет процессов и персонала, не влияющих на безопасность. Другое дело, что может различаться степень влияния на ИБ. Понятно, что требования к сотрудникам, занимающимся творческой деятельностью, не могут быть такими же, как к людям, занимающимся рутинной деятельностью. Следует заметить, что структура СУИБ для сотрудников, занимающихся рутинной деятельностью, например, для банковских работников, работающих на фронте, зафиксирована в стандарте Банка РФ, являющемся адекватным в этом отношении.
Разработанную методологию мы сочли возможным назвать методологией «тотальной информационной безопасности» (далее ТИБ).
Ключевые положения ТИБ:
• рассмотрение СУИБ как части системы менеджмента качества и соответственно аспектов ИБ как существенных параметров качества бизнес-процессов,
• децентрализация процесса обеспечения ИБ при сохранении координирующего центра,
• разработка системы определения ценности ресурсов,
• разработка системы мониторинга качества бизнес-процессов, в т.ч. ИБ как существенного элемента процессов.
Бизнес-подразделения предприятия/клиенты ВС, вендоры, поставщики, субподрядчики
Персонал подразделений ____| __Персонал подразделений ______|______Персонал подразделении
Процессы и услуги обеспечения жизнедеятельности подразделений финансового предприятия
Модель системы управления организации
Бизнес-подразделения предприятия/клиенты ВС, вендоры, поставщики, субподрядчики
Подход к ИБ как существенной части любого бизнес-процесса, влия-ющей на его качество, это основное ключевое положение методологии ТИБ. Согласно стандарту 1БО 9001:2000 за качество процесса несет ответственность владелец процесса, т.е. и за аспекты ИБ. При нашем подходе к определенным в СМК процессам подбираются меры по обеспечению ИБ, рекомендованные приложением стандарта 18О/1БС 27001:2005. Планирование деятельности, в т.ч. по развитию СУИБ, производится теми, кто хорошо понимает особенности конкретных бизнес-процессов и использует для планирования метод риск-менеджмента.
Децентрализация освобождает руководителя по ИБ от необходимости изучения гор нормативной литературы, необходимости вникать в узкопрофессиональные области. Основными функциями руководителя по ИБ становятся функции координации и контроля. Процесс построения и документирования СУИБ стал тривиальным. На практике документирование СУИБ занимает вполне обозримые сроки: 20-30 дней. Создаваемые СУИБ без проблем проходят любые проверки.
Подход к ИБ как существенной части любого бизнес-процесса, влияющей на его качество, позволил разработать простую и понятную систему оценки ценностей, задействованных в бизнес-процессе активов. Любой бизнес-процесс можно оценить в денежном выражении, при этом ценность вовлеченного ресурса складывается из его покупной стоимости, стоимости его обслуживания, возможного ущерба при выходе ресурса из строя и стоимости работ по восстановлению ресурса. Очевидно, что ценность бизнес-процесса для предприятия непрерывно меняется.
Так, например, если вы в начале года обслуживали 1 млн клиентов, а в конце -5 млн, то ценность бизнес-процесса возрастает экспоненциально. Естественно, она может и уменьшаться. Соответственно меняется и стоимость вовлеченных ресурсов. Решение вопроса о ценности ресурсов является ключевым для применения методов риск-менеджмента. Получаемые в результате оценки абсолютно прозрачны для бизнеса, обоснование выделения средств на СУИБ не вызывает у финансовых директоров никаких вопросов.
Использование методов риск-менеджмента потребовало решить еще одну важную проблему - методология риск-менеджмента требует определения вероятности реализации угроз. Если, например, в США статистику по угрозам собирает один из университетов, то в РФ такая практика отсутствует. Очевидно, что учиться на своем опыте является дорогим удовольствием. Естественно, у нас никто не хочет сообщать посторонней организации, даже ЦБ РФ, о том, что, например, в банке произошел инцидент ИБ.
Поэтому к ключевым организациям, предоставляющим сервисные услуги, необходимые для осуществления основной деятельности, были предъявлены требования по предоставлению обезличенной статистики инцидентов ИБ в аналогичных организациях. Нужно сказать, что в мире это является общепринятой практикой. Например, нет никаких проблем получить подобную информацию по продуктам Майкрософта.
Ценность подобных партнеров для организации возросла многократно. Очевидно, что любая организация-партнер может сильно измениться, в худшем случае, перестать соответствовать требованиям обеспечения информационной безопасности и качества.
Сравнительная характеристика эффективности методологий BSI и тотальной информационной безопасности
Параметр Методология Б81 Методология тотальной ИБ
Адекватность получаемой модели оценить невозможно, т.к. за базу изначально берется только один из процессов предприятия 70-90%
Трудозатраты 1,5 -2 года 0,5 года
Методология оценки ценности ресурсов отсутствует есть
Критерии качества СУИБ субъективные (степень выполнения требований стандарта с точки зрения серторгана) объективные (абсолютные показатели)
Выполнение требований международных аудиторских компаний в части ИБ при проведении финансовых аудитов частичное полное
Методология построения модели системы управления отсутствует есть
Методология сбора информации отсутствует есть
Методология отслеживания динамики ценности ресурсов отсутствует есть
Прозрачность для бизнеса результатов оценки рисков низкая высокая
Согласованность с требова- согласована в части организации согласована со всеми по-
ниями стандарта 9001 процесса развития СУИБ ложениями стандарта
Согласованность с требованиями SOX слабая полная в части ИБ
Соответствие созданной СУИБ бизнес-целям организации среди сертифицированных систем неизвестно соответствует
Это объясняется теми условиями, в которых функционируют предприятия в нашей стране. Скорость изменения условий внешней среды для них очень велика.
Очевидны следующие негативные варианты развития - компания может прекратить свое существование по финансовым причинам, компания может утратить компетентность в силу потерь квалифицированных кадров, компания может распасться в силу несоответствия системы управления возросшему объему работ.
Поэтому эти организации были включены в информационное пространство компании, в связи с чем удалось разработать определение информационного пространства предприятия.
Определение: Информационное пространство предприятия - это совокупность объектов, информация о которых имеет значение для системы управления предприятием.
Вкратце, это все основные положения методологии системы тотальной ИБ. Первая система управления, включающая в себя в качестве неотъемлемой части СУИБ, была сертифицирована 15 марта 2005 года. Все положения, приведенные выше, были проверены также при работе с организациями системы Минатома, Газпрома, банковской сферы, ИТ-сферы, космической отрасли. В таблице приведена сравнительная характеристика эффективности методологии ВБ! и методологии тотальной ИБ.
Есть эмоциональная оценка предлагаемой методологии одним из директоров по ИБ: «Вы сделали в 10 раз больше, в 10 раз лучше и в 10 раз дешевле».
Предприятия демонстрируют устойчивый рост. Мы имеем положительные отзывы, в том числе от аудиторских компаний, крупнейших международных финансовых структур, крупных зарубежных ИТ-компаний, подтверждающие эффективность сделанных выводов.
К сожалению, естественно, что не все ключевые проблемы создания СУИБ решены. Очень сложной оказалась на практике организация процесса управления знаниями. Хотя методология дает возможность решить и этот вопрос. На сегодняшний день это наиболее перспективное направление деятельности.
1. «Планета Іпґєї». Журнал «Компьютер Пресс», №11, 2007.
2. Доля А. «Дайджест ИТ-безопас-
ности». Журнал «Компьютер Пресс», №10, 2007.
3. Райков А. «Внимание к нематериальным аспектам». Журнал ИТ-руководи-теля «Директор информационной службы», №11, 2007.
Появление стандарта ¡БОЛЕС
27001:2005 является первой попыткой системного подхода к созданию СУИБ. С нашей точки зрения, попытка не очень удачная. Тем не менее, стандарт хорошо работает на стабильных предприятиях, не занимающихся наукоемкой продукцией. Очень хорошо стандарт работает на любых предприятиях на нижнем уровне управления, там, где сложность уп-равления падает. Стандарт содержит очень много информации о лучшей практике обеспечения ИБ.
Вероятно, в будущем будет разработан стандарт, рассматривающий СУИБ как неотъемлемую часть системы управления предприятия.
---------------- СПИСОК ЛИТЕРАТУРЫ
4. Ричард Л. Дафт «Менеджмент», Санкт-Петербург, «Питер», 2003.
5. Траут Д. «Сила простоты», Санкт-Петербург, «Питер», 2003.
6. Вендров А.М. «Методы и средства моделирования бизнес-процессов (обзор)», Информационный бюллетень “Jet Info”, №10, 2004. ЕШ
— Коротко об авторах -------------------------------------------------------------------
Барбашин С.С., Карпова В.И., Марчуков С.С., Хаитова А.С. - Московский государственный горный университет.
Доклад рекомендован к опубликованию семинаром № 11 симпозиума «Неделя горняка-2008». Рецензент д-р техн. наук, проф. Л.Д. Певзнер.
А
