CC BY
95
--------------------------------------- © С.С. Барбашин, В.И. Карпова,
С. С. Марчуков, 2008
УДК 346.548:343.143
С. С. Барбашин, В.И. Карпова, С. С. Марчуков
ПРИНЦИПЫ, МЕТОДЫ И ПРАКТИКА ПОСТРОЕНИЯ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ ПРЕДПРИЯТИЯ
Статья 1
Проведен анализ существующих систем информационной безопасности на примере компаний «Инфосистемы Джет», «Информзащита», МТТ и Лукойл-Информ.
Семинар № 11
| ТЪ представленном цикле из 3-х
■Я-9 статей рассматриваются принципы, методы и практика построения системы управления информационной безопасностью (СУИБ) на основе требований МС ИСО 27001:2005 по методо-| логии BSI, раскрываются недостатки данной практики и предлагается альтернативный подход, доказавший на практике е-вею-эффективность. В данной статье рассматриваются базовые положения МС ИСО 27001:2005 и сложившаяся на данный момент практика построения СУИБ.
На сегодняшний день требования информационной безопасности (ИБ) касаются абсолютно всех граждан РФ в связи с положениями Законов о персональных данных и о коммерческой тайне.
Так, например, преподаватель, разгласивший информацию о том, сколько раз ему сдавал экзамен тот или иной студент, рискует при грамотной формулировке студентом иска получить за это в суде вполне реальный срок. Вероятно, ждать этого осталось недолго. Тот же преподаватель, сообщивший, что реальная зарплата доцента университета примерно в 2 раза меньше зарплаты двор-
ника, убирающего улицу перед университетом, и в 3 раза меньше тех сумм, которые оглашает по ТВ министр образования, рискует получить до 10 лет тюрьмы. Последнее станет возможным, если Министерство образования издаст приказ о режиме коммерческой тайны и запретит разглашать подобные сведения.
Необходимость создания СУИБ предприятий подсказывает здравый смысл. По данным Министерства экономики США утрата 20 % коммерческой информации ведет в 60 % случаев к банкротству. Очевидно, что такие организации как банки, страховые компании, учреждения здравоохранения, не обеспечивающие сохранность информации клиента, очень быстро потерпят крах.
Банковские организации обязаны так же соответствовать требованиям законов РФ, ЦБ РФ, международных платежных систем. По словам представителя ЦБ РФ, несоответствие системы управления информационной безопасностью банковской организации требованиям ЦБ РФ может привести к отзыву лицензии.
Если предприятие захочет провести IPO и начать торговать своими акциями
l92
на Нью-йоркской бирже, оно обязано соответствовать требованиям закона Сарбейнса-Оксли, который примерно в 50 % своих статей предъявляет требования именно к СУИБ. Вряд ли предприятие сумеет получить от западного инвестора кредит либо добьется права представлять интересы западной компании на рынке РФ, если оно не будет иметь документально оформленной и сертифицированной СУИБ.
На сегодняшний день кажется, что создание СУИБ является дорогостоящим, но вполне реализуемым мероприятием. В периодике (см. [2], [3], [5]) достаточно информации о том, как следует создавать подобные системы. КО принял стандарт КОЛЕС 27001:2005 (разработан на основе британского стандарта BS 7799-2), содержащий требования к СУИБ и КО 17799:2005 (разработан также на основе британского стандарта), содержащий описание более 120 мер по обеспечению ИБ. Стандарты должны служить основой для создания СУИБ. Есть масса организаций, готовых помочь создать и документально оформить подобную систему.
В печати появляются выводы о том, что подобные услуги по созданию СУИБ в нашей стране достигли стадии зрелости. Осмелимся сделать предположение, что это не в полной мере соответствует действительности.
Рассмотрим принципы, методы и практику создания систем управления ИБ на основе требований стандарта КОЛЕС 27001/2005.
Стандарт КО/ІЕС 27001/2005 (очень хороший перевод размещен на сайте BSI) состоит из небольшого перечня нормативных положений, требующих осуществлять управление ИБ на основе методов риск-менеджмента в соответствии с моделью РБСА, и приложения, содержащего перечень обязательных
мер, выполнение которых, по мнению разработчиков стандарта, гарантирует создание и функционирование эффективной СУИБ. Наличие подобного перечня, безусловно, сильно упрощает жизнь разработчика СУИБ.
При этом под информацией в стандарте КО 17799:2005 (стандарт
КОЛЕС 27001/2005 определения понятия «информация» не содержит) понимается «актив, который, как и любой другой важный для бизнеса актив, представляет большую ценность для организации и, следовательно, нуждается в должной защите». Основными метриками информации по стандарту являются конфиденциальность, доступность и целостность.
Под СУИБ в стандарте понимается «часть общей системы управления, основанная на оценке бизнес-рисков и предназначенная для разработки, реализации, эксплуатации, мониторинга, анализа, сопровождения и совершенствования информационной безопасности».
Стандарт предполагает, что «СУИБ разрабатывается для обеспечения адекватных и соразмерных средств управления безопасностью, которые защищают информационные ресурсы и обеспечивают конфиденциальность для заинтересованных сторон».
Не будет преувеличением сказать, что основной идеей стандартов КОЛЕС 27001/2005 и КО 17799:2005 является создание системы управления информационной безопасностью,
обеспечивающей прежде всего защиту информации.
BSI разработал ясную и понятную методологию построения СУИБ [6], важным достоинством которой является пошаговое описание создания СУИБ. Основные шаги этой методологии основаны на цикле РБСА (рис. 1).
Рис. 1. Цикл PDCA в применении к процессам СУИБ
В начале работ по разработке и сертификации СУИБ согласно методологии BSI необходимо определить цель создания СУИБ, затем определить защищаемую область деятельности в виде, аналогичном приведенному на рис. 2, идентифици-ровать задействованные активы, оценить угрозы и уязвимости и выра-ботать план обработки рисков. (Ори-гинальный рисунок содержит надписи на английском языке, методика BSI предлагает выполнить отдельный ри-сунок для процессов и отдельный для подразделений, т.к. они очень схожи, то мы сочли возможным представить один рисунок).
Соответственно с данной методологией осуществляют работы консалтинговые организации, представленные на рынке РФ. Наиболее авторитетными из них являются компании «Инфосисте-мы Джет», «Информзащита». Один из подходов к созданию систем управления информационной безопасностью представлен на рис. 3.
Все это кажется достаточно логичным, но существующий опыт создания
и сертификация СУИБ не подтверждает эффективности данного подхода. Особенно ярко это проявилось на конференции «Info-security Russia 2007», проходившей 26-28 сентября 2007 г. в г. Москве. На выставке были публично представлены сертифицированные СУИБ таких компаний, как МТТ и Лу-койл-Информ. О СУИБ этих компаний рассказывали руководители подразделений, обеспечивающих ИБ, или их заместители. Участвовали также представители организаций, оказавших им консультационные услуги.
Лукойл-Информ, один из крупнейших операторов связи России на информационно-технологическом рынке услуг, сертифицировал «процесс поддержки и сопровождения системы управления персоналом SAP/RJ». Защищаемая деятельность на момент сертификации охватывала 20 человек, на сегодняшний день - 50.
Компания МТТ, согласно информации на сайте, также является оператором связи. Компания МТТ, которая на своем сайте заявляет, что она «забо-
Рис. 2. Пример определения области деятельности, подлежащей защите и дальнейшей сертификации (материалы учебного курса Б8Т)
тится о защите информации своих абонентов», сертифицировала тем не менее биллинговый процесс.
Очевидно, что в соответствии с формулировкой деятельности наиболее значимой бизнес-целью Лукойл-Информа не является «процесс поддержки и сопровождения системы управления персоналом БАР/ЯЗ» (формулировка сертификата, размещенного на сайте компании). У МТТ ситуация чуть лучше, но вряд ли клиенты МТТ будут удовлетворены тем, что СУИБ МТТ не включает в себя обеспечение безопасности их телефонных разговоров. При этом рассматриваемые СУИБ представлялись консультантами и представителями организаций не больше и не меньше как СУИБ компаний в целом!
По признанию специалиста МТТ, сделанному в ходе пленарного заседания, в их компании, несмотря на прохождение сертификации, до сих пор не смогли написать регламент по ИБ, где бы определялись права и обязанности сотрудников по доступу и обработке информации (без комментариев!). Специалист из Лукойл-Информа в ходе 40минутной дискуссии с участниками конференции не смог привести никаких объективных показателей эффективности работы СУИБ компании.
Сроки создания СУИБ в приведенных организациях составляли годы, специалисты Лукойл-Информа и МТТ отмечали, что проекты по созданию СУИБ были дорогостоящие. Можно предположить, что примерно в таком же состоянии находятся сертифицированные
Рис. 3. Пример методологии, разработанной на основе рекомендаций Б8Т
СУИБ организаций, не представленных на выставке.
Возникает вопрос, почему так происходит.
Для ответа на этот вопрос не обойтись без портрета руководителя службы ИБ. Почти всегда это человек, получивший образование «где надо», отслуживший «где надо» (подобные требования к компетенции руководителя службы ИБ почти напрямую предъявляет закон через требования к образованию). Данный человек является высоким специалистом в вопросах криптографии, агентурной разведки, методов противодействия ей, поиска электронных закладок, межсетевых экранов и т.п. У него есть один, но очень существенный недостаток, - он не понимает, как работает структура, которая его наняла. Приняв такого человека на работу, руководство предприятия может быть уверено, что все, что надо, зашифруют, злодеи на территорию не проникнут, документы получат грифы секретности и т.д. Оче-
редная проверка от регулятора с удовлетворением зафиксирует, что на предприятии в области ИБ все нормально.
В один из дней будет выявлено, что сотрудник предприятия, обычно это мужчина после полугода работы, используя доступ только к разрешенной информации, придумал хитроумную комбинацию, которая его обогатила на миллионы рублей, в худшем случае за счет клиентов предприятия. Что еще хуже, информация об этом проникла в печать, на решение вопроса с печатными органами пришлось потратить денег в десятки раз больше.
Специалисту по ИБ предлагают разработать меры по противодействию. Его учили, что самый лучший метод защиты - не допускать злодея к источнику информации. В результате определенную категорию людей лишают доступа к информационным ресурсам. Трудоемкость операций увеличивается на 10-15 %, темпы роста
компании падают на порядок. Неудобства терпят, т.к. репутация дороже.
Между тем инцидент по той же схеме повторяется в филиале на другом конце страны. Надежды на специалиста по ИБ уже никакой, за решением проблемы обращаются к техническим специалистам, которые, к удивлению руководства, за 1-2 дня раз и навсегда ликвидируют предпосылки для мошенничества.
Руководство предприятия проводит беседу со специалистом по ИБ и объясняет, что ИБ без бизнеса никому не нужна, а основное требование бизнеса к специалисту по ИБ - создание такой СУИБ, «которая не душит бизнес, обеспечивая при этом приемлемый уровень защиты информации» (прямая цитата руководителя организации, контролирующей 1 % национального богатства РФ).
Специалиста по ИБ никогда не учили, как найти компромисс между ИБ и требованиями бизнеса (см. [1]). Он очень хорошо знает, как защищать информацию от кражи, но ему никто никогда не объяснял, как функционирует предприятие и как определяются бизнес-цели, как обес-печение защиты информации влияет на достижение бизнес-целей. После подобной беседы человек, изначально привыкший исполнять только приказы, требования ФСБ, законов РФ, начинает лично заниматься просмотром исходящей/входящей почты, наиболее активные выходят на проходную и проверяют портфели. Конечно, это все необходимо, но это никак не приближает предприятие к нахождению компромисса между требованиями ИБ и требованиями бизнеса.
К специалисту по ИБ начинают относиться как к неизбежному злу, а полномочия по решению задач ИБ пе-
реходят к руководителям соответствующих функциональных подразделений. Координация этих работ отсутствует, негативные последствия этого неизбежны.
Ситуация с СУИБ усугубляется в тот момент, когда руководство понимает, что предприятию необходим сертификат, подтверждающий соответствие СУИБ международному стандарту. В РФ за стандарт берется, как правило, стандарт КОЛЕС 27001:2005. Руководитель по ИБ проходит обучение (русскоязычные курсы на начало 2008 года существовали только в ББ1 и у его партнеров) и начинает действовать в соответствии с полученными знаниями. В соответствии с методологией выбирается основной бизнес-процесс (нам абсолютно непонятно, как его можно выбрать, не понимая, как функционирует компания в целом). Предположим, что повезло, и выбрали на самом деле один из важных, для банка, например, процесс обслуживания физических лиц.
Стандарт КОЛЕС 27001:2005 напрямую требует изучить законодательно-нормативную базу, относящуюся к данному виду деятельности. Список нормативных документов по данному вопросу превышает размеры листа А4. Можем сказать по опыту одного из нас, что прочитать всю документацию можно за 2-3 месяца и для этого необходим специальный допуск. При этом заниматься еще какой-либо деятельностью возможности нет. К моменту окончания изучения документов документы, прочитанные вначале, надежно забываются. Уже одного этого момента достаточно, чтобы в качестве защищаемого СУИБ процесса выбрать какой-либо хорошо зарегулированный государством вид деятельности, к примеру, кадровую деятель-
ность либо подготовку финансовой отчетности.
Еще более мощным стимулом для отхода от основного процесса предприятия является тот момент, что специалист по ИБ в соответствии с требованиями стандарта КОЛЕС 27001:2005 обязан разбираться в вопросах администрирования ВС, проектирования, финансах и т.д., т.е. во всех аспектах деятельности компании. Напомним, что сложилось так, что специалистов по ИБ этому никогда не учили и что основной метод защиты информации согласно [1] - не допускать злодея к источнику информации. Снова повторяется попытка «закопать информацию», бизнес неизбежно этим недоволен, и под защиту СУИБ настоятельно рекомендуется взять какой-нибудь процесс, не так явно влияющий на финансовые показатели.
С неизбежностью приглашаются консультанты, которые, хотя и закончили гражданские учебные заведения, также стремятся «закопать информацию поглубже», не забывая при этом задвинуть клиенту парочку собственных, обычно дорогостоящих, разработок. Проект растягивается до бесконечности. Зона сертифицируемой деятельности сжимается до тех пор, пока в качестве защищаемого вида деятельности не остается вспомогательный процесс, в котором задействованы 1530 человек. Служба ИБ при этом разбухает. Известен случай, когда в ней работает 1/3 часть сотрудников очень большой компании. В конце концов, сертифицирующий орган принимает то, что есть, отмечая серьезные недочеты СУИБ, и абсолютно корректно начинает помогать совершенствовать СУИБ предприятия, приходя на предприятие с проверкой несколько раз в течение года.
При современных темпах развития бизнеса объем изменений в любой организации сегодня таков, что сертифицированная СУИБ быстро перестает соответствовать действительности, снова приглашаются консультанты и т.д. Сопровождение СУИБ очень хочется бросить, но обстоятельства не позволяют.
Картина с небольшими изменениями повторяется на различных предприятиях. Очевидно, что налицо системный кризис в области создания СУИБ.
Следует отметить, что понимание кризиса есть у специалистов таких организаций, как «Инфосистемы Джет» и «Информзащита». Это очень точно прозвучало на выставке в выступлении представителя Центра ИБ компании «Инфосистемы Джет». Позиция компании «Информзащита» изложена в [4]. В [4] выход из кризиса предполагается в написании регламента, где расписаны права и обязанности сотрудников по обработке информации, что приравнивается описанию деятельности компании. В [7] сделан абсолютно корректный, с нашей точки зрения, вывод о том, что создание СУИБ на основании описания деятельности предприятия в виде схемы бизнес-процессов является тривиальной задачей, но как это делать - не написано.
Мы считаем, что первопричиной сложившейся ситуации является попытка решать управленческие задачи при помощи только технических средств, что заранее обречено на провал. С нашей точки зрения, причины кризиса очень глубокие. Для выхода из него требуется разработать новую идеологию информационной безопасности и принципиально новую методологию создания СУИБ. Описание успешного решения данной задачи содержится в следующей статье.
1. Семкин С.Н., Беляков Э.В., Гребенев С.В., Козачок В.И. Основы организационного обеспечения информационной безопасности объектов информатизации. М.: Гелиос АРВ, 2005.
2. Конференция Обеспечение информационной безопасности. Региональные аспекты. Информационно-методический журнал «INSIDE. Защита информации», №5, 2007 г.
3. Коняев И. Политики информационной безопасности. Журнал ИТ-руководителя «Директор информационной службы», №11, 2007 г.
4. Емельянников М. Защита от инсайде-ров-проблема нетехническая. Журнал «CIO», №12, 2007 г.
5. Зосимовская Н. BS 7799: аудит и сертификация. Журнал «Открытие системы», №3, 2007 г.
6. Введение в BS ISO/IEC 27001:2005 Основы системы управления информационной безопасностью. Учебное издание BSI
7. Ковалев С.Э. Начнем с начала. Интуитивное понимание «бизнес-процесса. Информационно-методический журнал «INSIDE. Защита информации», №5, 2007 г. иш=1
— Коротко об авторах -------------------------------------------------------------------
Барбашин С.С., Карпова В.И., Марчуков С.С., Хаитова А.С. - Московский государственный горный университет.
Доклад рекомендован к опубликованию семинаром № 11 симпозиума «Неделя горняка-2008». Рецензент д-р техн. наук, проф. Л.Д. Певзнер.
--------------------------------------------- РУКОПИСИ,
ДЕПОНИРОВАННЫЕ В ИЗДАТЕЛЬСТВЕ
МОСКОВСКОГО ГОСУДАРСТВЕННОГО ГОРНОГО УНИВЕРСИТЕТА
1. Петроченков Р.Г., Петроченков А.Р. Орбитальные и радиальные силы, которые двигают мирами, работа орбитальных сил и как следствие рост вещественных масс и размеров различных вращающихся по эллиптическим орбитам небесных тел, уменьшение расстояний между ними и центральными телами тяготения (653/09-08 — 25.06.08) 65 с.
