Системы менеджмента информационной безопасности

Использование ИТ-решений для поддержки выполнения основных бизнес-процессов компании или непосредственно для оказания услуг клиентам означает высокие требования к их качеству – доступности, мощности, непрерывности и безопасности использования. Реализация угроз различного характера – от вирусной эпидемии во внутренней сети до отказа системы электропитания в масштабах города – могут вызвать нарушение деятельности организации, привести к прямым финансовым потерям или ущербу репутации. Зрелая система менеджмента информационной безопасности (СМИБ) обеспечивает эффективное управление ИБ — отсутствие неприемлемых рисков со стороны ИТ-систем для организации и поддержание баланса между рисками и затратами на обеспечение ИБ, с учетом требований бизнеса, законодательной и нормативной базы.

Компания Открытые Технологии представляет полный спектр услуг в области построения, эксплуатации, развития и сертификации СМИБ на основе лучших мировых практик.

Структура СМИБ

Современная СМИБ представляет собой процессно-ориентированную систему управления, включающую организационный, документальный и программно-аппаратный компоненты. Можно выделить следующие «взгляды» на СМИБ: процессный, документальный и зрелостный.

Процессы СМИБ созданы в соответствии с требованиями стандарта ISO/IEC 27001:2005, в основе которого лежит цикл управления Plan-Do-Check-Act. В соответствии с ним, жизненный цикл СМИБ состоит из четырех типов деятельности: Создание - Внедрение и эксплуатация - Мониторинг и анализ - Сопровождение и совершенствование. Документированные процессы СМИБ обеспечивают выполнение всех требований стандарта 27001.

Документация СМИБ состоит из политик, документированных процедур, стандартов и записей и делится на две части: документация менеджмента СМИБ и эксплуатационная документация СМИБ.

Зрелостная модель СМИБ определяет детализацию разрабатываемой документации и степень автоматизации процессов менеджмента и эксплуатации СМИБ. При оценке и планировании используется модель зрелости CobiT. В Программе повышения зрелости СМИБ приводятся состав и сроки мероприятий по совершенствованию процессов менеджмента ИБ и управления эксплуатацией средств ИБ.

Построение СМИБ

При построении СМИБ выполняются следующие работы:

­

  • организация управления проектом, формирование проектной группы со стороны заказчика и исполнителя;
  • определение области деятельности (ОД) СМИБ;
  • обследование организации в ОД СМИБ;
  • разработка и согласование аналитического отчета, содержащего перечни основных бизнес-процессов и оценки последствий реализации угроз ИБ в их отношении, перечни процессов менеджмента, ИТ-систем, подсистем информационной безопасности (ПИБ), оценку степени выполнения организацией всех требований ISO 27001 и оценку зрелости процессов организации;
  • выбор исходного и целевого уровня зрелости СМИБ, разработка и утверждение Программы повышения зрелости СМИБ;
  • выбор и адаптация методики оценки рисков, применимой в организации;
  • проведение оценки и обработки рисков, в ходе которой для снижения рисков выбираются меры Приложения «А» стандарта 27001 и формулируются требования к их реализации в организации, предварительно выбираются технические средства обеспечения ИБ и производится оценка стоимости обработки рисков;
  • утверждение оценки рисков у высшего руководства организации и разработка Положения о применимости;
  • разработка организационных мер обеспечения ИБ и процессов менеджмента ИБ в рамках СМИБ;
  • разработка и реализация технических проектов по внедрению технических подсистем информационной безопасности, поддерживающих выполнение выбранных мер, включая поставку оборудования, пуско-наладочные работы, разработку эксплуатационной документации и обучение пользователей;
  • консультации в ходе эксплуатации построенной СМИБ;
  • организация обучения внутренних аудиторов и проведения внутренних аудитов СМИБ, сопровождение внутренних аудитов;
  • выполнение работ по Программе повышения зрелости СМИБ.

­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­

Сертификация СМИБ

Сертификация СМИБ проводится по решению высшего руководства организации. Она обеспечивает конкурентное преимущество организации в случае, если соответствующие требования являются значимыми на целевых рынках. Сертификация СМИБ включает:

­

  • выбор сертифицирующей организации;
  • организацию предсертификационного аудита;
  • консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на предсертификационном аудите;
  • организацию сертификационного аудита;
  • консультационные услуги по выполнению корректирующих и предупреждающих действий по устранению замечаний, полученных на сертификационном аудите;
  • сопровождение СМИБ после сертификационного аудита.

Методологическая основа построения СМИБ

Привлечение к сертификационному аудиту СМИБ зарубежных аудиторов диктует использование в ходе построения СМИБ оригинальных англоязычных версий современных стандартов в области управления ИБ и ИТ.

Используются следующие источники:

  • международные стандарты ISO/IEC: 27001:2005, 27005:2008, 27002:2005;
  • другие зарубежные стандарты и рекомендации: ISO/IEC TR 18044, BS 25999-1:2006, BS 25999-2:2007, PAS 77:2006, IT BIP 0071, 0072, 0073, 0074, NIST SP 800-53:2007;
  • собственные разработки компании Открытые Технологии: концепция обеспечения информационной безопасности в распределенной организации;
  • количественная и рейтинговая методики оценки рисков ИБ; обобщенная процессная модель СМИБ;
  • типовые проекты построения технических подсистем информационной безопасности.

Подсистемы информационной безопасности, используемые при построении СМИБ

Перечень подсистем, состав средств каждой подсистемы и их поставщик определяются на этапе разработки и реализации технических проектов на основании результатов оценки и обработки рисков и принятия решения по их обработке высшим руководством компании.

В общий перечень подсистем входят:

  • подсистема антивирусной и антиспам защиты;
  • подсистема обнаружения и предотвращения вторжений;
  • подсистема криптографической защиты каналов связи КСПД;
  • подсистема мониторинга, сбора и корреляции событий ИБ;
  • подсистема безопасного взаимодействия с технологическими сетями;
  • подсистема безопасного взаимодействия с сетью Internet;
  • подсистема разграничения и контроля доступа к ресурсам КИС;
  • подсистема удаленного доступа к ресурсам КИС;
  • подсистема анализа уязвимостей;
  • подсистема контроля подключения внешних устройств;
  • подсистема управления средствами ИБ.

­ ­ ­ ­ ­ ­

Результатом данных работ является функционирующая СМИБ целевого уровня зрелости.

Наши заказчики в рамках данного решения