Мониторинг ИБ: от общесистемного к частному

Мониторинг ИБ: от общесистемного к частному

И.Б. Паращук, Военная академия связи, г. Санкт-Петербург

Т.М. Хасан, Военная академия связи, г. Санкт-Петербург

Системный подход к методологии мониторинга информационной безопасности (МИБ) в интересах менеджмента качества систем защиты информации (СЗИ) телекоммуникационных сетей (ТКС) нефтегазового комплекса (НГК), предопределяет как рассмотрение данного процесса в рамках метасистемы, так и учет форм, закономерностей и факторов развития (технической эволюции) мониторинга безопасности параллельно с СЗИ ТКС, кибернетической составляющей которых он является. Исходя из предпосылки, что любые СЗИ ТКС НГК могут быть представлены как производственные структуры (производящие и предоставляющие услуги по защите информации), рассмотрим процесс МИБ с системных позиций. Рассмотрим взаимосвязь МИБ и мониторинга системы защиты информации в целом с точки зрения современных стандартизованных понятий менеджмента (управления) качества и с учетом тенденций технической эволюции (ТЭ) и особенностей этапов жизненного цикла (ЖЦ) систем защиты информации телекоммуникационных сетей НГК. Рассмотрим основы системного подхода к мониторингу информационной безопасности ТКС НГК, определяемые с общесистемных позиций стандартов 9000 серии [1-4] и сравним их с конкретными требованиями к системе менеджмента информационной безопасности, установленными современными стандартами в данной сфере [5, 6].

Это даст нам возможность взглянуть на МИБ как на комплексный, системный и эволюционирующий процесс наблюдения, оценивания и прогнозирования состояния и качества СЗИ сетей такого класса, позволит обосновать и подчеркнуть новизну и актуальность теоретических и практических исследований, ориентированных на эволюционные изменения в оценке состояния и качества информационной безопасности, которую должны обеспечивать современные и перспективные СЗИ ТКС НГК.

 Основы системного подхода к МИБ ТКС НГК, определяемые с общесистемных позиций стандартов 9000 серии

Иерархия процессов мониторинга в рамках процесса управления функционированием СЗИ предопределяет взгляд на МИБ ТКС НГК как на систему наблюдения, оценивания и прогнозирования состояния и качества всех объектов системы информационной безопасности (ИБ) сети и процессов, реализуемых ими. Мониторинг ИБ должен пронизывать все уровни ТКС НГК и представлять собой единый взаимоувязанный процесс на различных уровнях управления сетью. Структура общесистемных понятий менеджмента качества ИБ ТКС НГК должна быть ориентирована на отечественные [1, 2] и международные [3, 4] стандарты в области менеджмента качества. Ключевыми понятиями здесь являются понятия маркетинга, мониторинга и менеджмента качества.

Как и в любой другой производственной структуре, заказчикам и потребителям необходима продукция СЗИ ТКС НГК – безопасные телекоммуникационные услуги, характеристики которых удовлетворяли бы их потребности и ожидания с точки зрения защищенности информации. Эти потребности и ожидания отражаются в технических условиях заказчика (для этапов проектирования, разработки и производства), руководящих документах по организации процесса защиты информации (для этапа эксплуатации) и обычно считаются требованиями потребителей. Требования по ИБ могут быть установлены потребителями услуг ТКС НГК или определены вышестоящим органом управления.

В любом случае, приемлемость продукции – телекоммуникационных услуг с точки зрения их ИБ, в конечном счете, устанавливает потребитель услуг ТКС НГК. Поскольку потребности и ожидания потребителей меняются, ТКС НГК в целом и их СЗИ в частности испытывают давление, обусловленное необходимостью в безопасных услугах, адекватных современным условиям технической эволюции. Это означает, что СЗИ ТКС НГК должны постоянно совершенствовать свою продукцию (услуги по защите информации) и свои процессы с точки зрения повышения ИБ.

Системный подход к менеджменту качества СЗИ ТКС НГК побуждает разработчиков и производителей СЗИ (на этапах проектирования, разработки и производства) и инженеров-администраторов СЗИ ТКС НГК (на этапе эксплуатации) анализировать современные мировые тенденции по нарушению ИБ, анализировать требования заказчиков и пользователей (маркетинг) с точки зрения ИБ, наблюдать, оценивать и прогнозировать выполнение требований к качеству (мониторинг качества) СЗИ ТКС НГК, определять процессы, способствующие получению и предоставлению услуг, приемлемых для потребителей с точки зрения ИБ, а также поддерживать эти процессы в управляемом состоянии (менеджмент качества СЗИ).

Применительно к терминам Государственного стандарта России [1], ориентированного на общесистемные позиции стандартов 9000 серии, под менеджментом качества СЗИ ТКС НГК целесообразно понимать скоординированную деятельность по руководству и управлению информационной безопасностью ТКС НГК применительно к качеству (рис.1).

Рис. 1. Общесистемные понятия, относящиеся к менеджменту качества СЗИ ТКС НГК в соответствиии с ГОСТ Р ИСО 9000-2001.

Использование общесистемных стандартизованных понятий менеджмента качества, изложенных в документах [1-4], применительно к процессам менеджмента качества СЗИ ТКС НГК позволяет определить роль и место МИБ ТКС НГК, которые достаточно ярко прослеживается при рассмотрении модели системы менеджмента качества объекта, основанной на процессном подходе. Действительно, функционирование СЗИ ТКС НГК можно рассматривать как и любую иную деятельность, направленную на  преобразование ресурсов в результат (входы в выходы) [1], т.е. как процесс.

Чтобы результативно функционировать, СЗИ ТКС НГК должны определять и управлять многочисленными взаимосвязанными и взаимодействующими процессами по обеспечению информационной безопасности, причем выход одного процесса часто образует непосредственно вход следующего. Систематическая идентификация и менеджмент применяемых СЗИ ТКС НГК процессов и обеспечение их взаимодействия могут считаться "процессным подходом" [1].

В процессе мониторинга в рамках системы менеджмента качества ГОСТы [1-4] много внимания уделяют общесистемным терминам "качество" и "оценивание". Интерпретируя понятия, введенные в данных руководящих документах, для нужд конкретного исследования, можно определить качество СЗИ ТКС НГК как степень соответствия присущих СЗИ ТКС НГК характеристик требованиям.

Применительно к качеству СЗИ ТКС НГК, оценивание, по аналогии со стандартизованными в Российской Федерации понятиями, является основой получения объективного свидетельства, получения данных, подтверждающих или опровергающих наличие требуемого качества СЗИ ТКС НГК в конкретных условиях функционирования. Важными понятиями, нашедшими свое отражение в [1-4], относящимися к мониторингу в целом и к оцениванию качества СЗИ ТКС НГК, в частности, являются, на наш взгляд, понятия верификации и валидации.

Под верификацией понимается подтверждение на основе представления объективных свидетельств того, что установленные требования по информационной безопасности ТКС НГК были выполнены [1]. Под валидацией понимается подтверждение на основе представления объективных свидетельств того, что установленные требования по информационной безопасности ТКС НГК, предназначенные для конкретного использования или применения, были выполнены [1]. Сущность данных общесистемных понятий менеджмента качества в рамках МИБ ТКС НГК необходимо рассматривать, отталкиваясь от понятий "состояние информационной безопасности ТКС НГК" и "качество выполнения требований по информационной безопасности ТКС НГК". Анализируя такой многофункциональный и изменяющийся в динамике ТЭ, ЖЦ и эксплуатации объект, как СЗИ ТКС НГК, нетрудно заметить, что уровень  качества СЗИ с точки зрения информационной безопасности ТКС НГК напрямую связан с традиционными классами состояния, а определение (оценивание) состояния ИБ и, особенно, получение подтверждения того факта, что состояние (качество) ИБ удовлетворяет требованиям (которые тоже изменяются в ходе ТЭ, ЖЦ, эксплуатации) представляет собой одну из задач МИБ – задачу валидации-верификации. При этом этапам (циклам) МИБ ТКС НГК соответствует определенный уровень решения задачи валидации-верификации.

Таким образом, верификация в рамках МИБ ТКС НГК представляет собой симбиоз решения задачи получения подтверждения о том, что установленные требования по ИБ, ориентированные на конкретное использование или применение ТКС НГК, были выполнены (валидация) и решения задачи получения подтверждения, что установленные требования по ИБ ТКС НГК будут выполнены в измененных, например, критических условиях, как сейчас, так и в будущем.

Анализ показывает, что решение задачи верификации включает валидацию и, кроме того, связано с задачей прогнозирования состояния (качества) ИБ ТКС НГК, определяет возможности СЗИ ТКС НГК достигать цели функционирования всегда, в любых условиях, и служит главной составляющей при принятии информационного решения в рамках цикла управления ИБ ТКС НГК.

Очевидно, что на МИБ ТКС НГК, на процесс оценивания состояния (качества) СЗИ сети оказывает непосредственное влияние ряд факторов, главными из которых, на наш взгляд, являются факторы, характеризующие этапы ТЭ, ЖЦ и условия эксплуатации (функционирования и применения).

Мониторинг ИБ осуществляет информационно-расчетное обеспечение управления СЗИ в конкретных условиях (при разработке, производстве, эксплуатации, восстановлении) и обосновывает своевременность и необходимость смены ЖЦ и фазы ТЭ СЗИ, своевременность и необходимость последовательных действий по обслуживанию и ремонту элементов СЗИ, восстановлению их характеристик и модернизации, как показано на рис. 2.

Таким образом, можно сделать выводы о том, что МИБ ТКС НГК с точки зрения общесистемных стандартизованных понятий менеджмента качества (стандартов 9000 серии) – иерархический, комплексный (системный) и эволюционирующий процесс наблюдения, оценивания и прогнозирования состояния (качества) ИБ сети.

Рис. 2. Характеристики уровня задач управления, на которые нарабатывает мониторинг информационной безопасности в ходе эволюции СЗИ ТКС НГК

При этом анализ процесса МИБ с общесистемных позиций стандартов 9000 серии [1-4] показывает, что мониторинг ИБ ТКС НГК должен охватывать все пространство состояний ИБ сети с учетом всего диапазона факторов, влияющих на состояние (качество) СЗИ ТКС НГК и быть адаптивным – способным изменять свои режимы (алгоритмы наблюдения, уровни, объем, номенклатуру контролируемых параметров ИБ) в зависимости от конкретных угроз безопасности информации, активности тех или иных факторов.

 Особенности понятий и положений систем менеджмента ИБ в рамках конкретных требований, определенных стандартом ISO/IEC IS 27001:2005

Рассмотрение ключевых понятий и положений МИБ с общесистемных позиций процессно-ориентированного подхода стандартов [1-4], других стандартов систем менеджмента качества (например, ISO 9001:2000 и ISO 14001:2004) дает нам лишь общее представление о роли и месте данного процесса в рамках метасистемы, позволяет анализировать глобальные (системные) направления развития форм, закономерностей и факторов эволюции мониторинга ИБс точки зрения  современных подходов к менеджменту качества сложных систем, в том числе, систем защиты информации.

Вместе с тем, существуют конкретные особенности, конкретные специализированные требования, понятия и положения для систем менеджмента ИБ, определенные стандартом ISO/IEC IS 27001:2005 [6]. Этот стандарт является стандартом де-факто в области построения систем управления ИБ. Положения этого стандарта на добровольной основе применяет множество компаний в десятках стран мира. Достаточно сказать, что по данным на январь 2006 г. выдано 2030 сертификатов, ожидается, что к концу 2006 г. количество сертифицированных компаний возрастет до 5000. Кроме того, теперь сертификацию систем менеджмента ИБ могут проводить не только компании - члены Аккредитационной службы Великобритании (UKAS), но и все международные аудиторские компании, специализирующиеся в данной области. Официальную сертификацию по стандарту ISO/IEC IS 27001:2005 уже прошли такие крупные компании, как CANON, Fuji Xerox, Fujitsu, Hitachi, Mitsubishi Electric, NEC, Sony, Toshiba, Telecom Italia, Japan Telecom, Siemens, British Telecom,  Ericsson, Samsung, Hyundai и другие.

В рамках данной статьи, посвященной ТКС НГК, необходимо особо отметить, что в России официальную сертификацию по стандарту ISO/IEC IS 27001:2005 прошла подсистема менеджмента ИБ системы управления персоналом телекоммуникационной дочерней компании "ЛУКОЙЛ-Информ", принадлежащей одному из "монстров" отечественного НГК – ОАО "ЛУКОЙЛ". Более того, "ЛУКОЙЛ-Информ" стала первой компанией в России и странах СНГ, которая проверялась международным органом по сертификации BSI Management Systems и получила сертификат на соответствие требованиям этого международного стандарта. Если учесть тот факт, что "ЛУКОЙЛ-Информ" является головной организацией группы "ЛУКОЙЛ" по информационно-технологическому обеспечению, то необходимо признать, что сертификация послужила подтверждением высокого качества предоставляемых услуг по обеспечению конфиденциальности, целостности и доступности информации клиентов, качества предоставляемых услуг по разработке, внедрению и сопровождению интегрированных систем управления, систем управления производством и технологическими процессами, обеспечению ИБ, развитию и обслуживанию телекоммуникационной инфраструктуры ОАО "ЛУКОЙЛ".

Сама история появления и признания стандарта ISO/IEC IS 27001:2005 довольно интересна. Как и стандарт ISO/IEC IS 17799-2:2005 [5], данный стандарт является продолжением и развитием стандарта BS 7799 (Великобритания), в котором оговариваются аспекты сертификации ISMS (Information Security Management Systems) - систем управления ИБ (СУИБ). Сертификация на соответствие стандарту BS 7799 позволяла владельцам информационных ресурсов компаний и их партнерам быть относительно уверенными в том, что подсистема ИБ компании построена правильно и функционирует эффективно. Однако международное признание и широкое использование данный стандарт получил лишь после того, как на его основе были приняты соответствующие стандарты ISO [5, 6].  Причем "прародителями" стандартов ISO [5, 6] стали соответственно первая и вторая части стандарта BS 7799 (рис. 3).  Первая из них описывает механизмы контроля для построения СУИБ, а вторая определяет спецификацию СУИБ. 

  
Рис. 3. Источники стандартов ISO/IEC IS 17799-2005  и ISO/IEC IS 27001:2005

Стандарт ISO/IEC IS 27001:2005, распространяющийся на создание, применение, мониторинг, контроль, совершенствование и поддержку эффективной системы менеджмента ИБ, официально вводит в пользование понятие СУИБ и определяет его как систематический подход к управлению конфиденциальной информацией компании, который охватывает людей, процессы и системы с применением информационных технологий, например такие, как ТКС НГК.

Современная система управления ИБ, сертифицированная в соответствии  с новым стандартом ISO/IEC 27001:2005, значительно упрощает процесс управления ИБ предприятия, помогая выявить существующую утечку информации и предотвратить связанные с этим угрозы. Не секрет, что информация, передающаяся по каналам ТКС НГК, это своеобразный актив организации, который, наряду с другими активами, представляет собой немалую ценность, и, следовательно, нуждается в защите.

В этом смысле оба стандарта, ISO/IEC IS 17799-2005 и ISO/IEC IS 27001:2005, дополняют друг друга и являются неким обобщенным "сводом правил" управления ИБ предприятия.

Помимо этого ISO/IEC IS 27001:2005 объединяет в себе процессно-ориентированный подход стандартов систем управления серии ISO (точнее ISO 9001:2000 и ISO 14001:2004), включая необходимость непрерывного усовершенствования системы.

Рассмотрим подробнее некоторые основные положения данного стандарта. Интересен подход, определяющий понятие "информационная безопасность". Стандарт ISO/IEC IS 27001:2005 определяет информационную безопасность как сохранение конфиденциальности, целостности и доступности информации. Кроме того, в понятие "информационной безопасности могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность.

Основной задачей ИЮ, например, ТКС НГК, согласно стандарта ISO/IEC IS 27001:2005, является защита информационных ресурсов компании НГК от внутренних и внешних умышленных и неумышленных угроз (подделка, вандализм, кража, пожар, системный сбой и др.).

Целью ИБ является обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов безопасности и уменьшения размеров потенциального ущерба.

Согласно ISO/IEC IS 27001:2005, одним из основных элементов внедрения СУИБ является разработка "Политики информационной безопасности компании" – документа, регламентирующего систему менеджмента ИБ компании. В этом документе должны содержаться: определение ИБ и ее цели; область применения системы менеджмента ИБ; основные положения политики ИБ компании; ссылки на документацию СУИБ.

Так, например, первым шагом реализации положений "Политики информационной безопасности" для ТКС какой-либо компании НГК должна является разработка и внедрение следующих документов:

• положение о применимости - обязательный справочный документ СУИБ ТКС компании НГК, представляющий собой перечень защитных мероприятий, которые применяются в компании;
• процедуры, инструкции, методики - документы, описывающие порядок выполнения каких-либо действий в рамках СУИБ ТКС компании НГК.
• создание базы данных рисков, которая содержит данные о рисках ИБ компании;
• отчет по оценке рисков, содержащий результаты оценки рисков;
• план уменьшения рисков ИБ - план мероприятий по уменьшению рисков ИБ.

Одними из наиболее характерных особенностей с точки зрения понятий и положений систем менеджмента информационной безопасности в рамках конкретных требований, определенных стандартом ISO/IEC IS 27001:2005, являются понятия ключевых компонент ИБ. При этом стандарт ISO/IEC IS 27001:2005 определяет такие компоненты, как конфиденциальность, целостность и доступность. Краткая характеристика ключевых компонент ИБ с точки зрения ISO/IEC IS 27001:2005 приведена на рис. 4.

Рис. 4. Характеристика компонент ИБ, согласно ISO/IEC IS 27001:2005

Стандарт ISO/IEC IS 27001:2005 определяет, что такое информация и виды носителей информации, которые подлежат защите и контролю:

Согласно данному стандарту, информация – это ресурс, который имеет ценность для компании, и, следовательно, нуждается в соответствующей защите (сведения о фактах, событиях, процессах и явлениях, состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, необходимые для принятия решений в процессе управления этими объектами).

Носители информации – бумага, аудио, видео, жесткие и гибкие диски, вербальные коммуникации (речь).

Кроме того, в стандарте ISO/IEC IS 27001:2005 четко оговорены понятия "ресурсы" и "виды ресурсов".

Ресурс – что-либо имеющее ценность для компании (информация, персонал, услуги, оборудование, материалы, недвижимость и др.). Более подробно виды конкретных ресурсов компании, которые оказывают влияние на ее информационную безопасность, показаны на рис. 5.

                          
Рис. 5. Виды ресурсов компании, которые, с точки зрения  ISO/IEC IS 27001:2005, оказывают влияние на её информационную безопасность.

Заключение

Таким образом, в статье рассмотрены два логически взаимосвязанных понятийных аспекта ИБ. Если рассмотренные с общесистемных позиций в первой части данной статьи ключевые понятия и положения менеджмента и МИБ (на основе анализа стандартов 9000 серии) позволяют нам определить роль и место процесса обеспечения ИБ в общих границах менеджмента качества сложных систем, то во вторая часть данной статьи (на основе анализа ISO/IEC IS 27001:2005) ориентирована на практические аспекты обеспечения ИБ, позволяет говорить о конкретных понятиях и положениях для реальных систем менеджмента ИБ. Очевидно, что, если при реализации научных исследований объективно необходимо опираться на общесистемные понятия менеджмента качества, то для инженера-практика гораздо важнее рекомендации стандарта ISO/IEC IS 27001:2005, который устанавливает требования к системе менеджмента информационной безопасности для демонстрации способности организации защищать свои информационные ресурсы.

При внедрении стандарта ISO/IEC IS 27001:2005 в практическую деятельность, например, службы защиты информации ТКС НГК, можно добиться ряда преимуществ. Помимо того, что сертификация на соответствие данному стандарту позволяет наглядно показать деловым партнерам, инвесторам и клиентам, что в компании налажено эффективное управление ИБ, это обеспечивает компании дополнительный выигрыш: партнеры и клиенты видят, что требования к безопасности соблюдены, а компания демонстрирует стремление уменьшить их риски; компания получает возможность отслеживать процесс выполнения политики безопасности (находить и исправлять слабые места в системе ИБ); обеспечивается эффективное управление системой в критичных ситуациях; достигается снижение и оптимизация стоимости поддержки системы безопасности; облегчаются интеграция подсистемы безопасности в бизнес-процессы и интеграция с ISO 9001:2000; сертификация по данному стандарту независимым аудитором продемонстрирует рынку и самой компании, что созданная система управления ИБ действительно эффективно работает. Кроме того, сертификация позволит убедиться в том, что система управления информационной безопасностью правильно разработана и внедрена и что она дает реальные улучшения в компании.

Список использованных источников.

ГОСТ Р ИСО 9000-2001. Системы менеджмента качества. Основные положения и словарь. – М.: Госстандарт России, 2001. – с. 26.

ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению деятельности. – М.: Госстандарт России, 2001. – с. 46.

Международный стандарт ISO 9000-1-94. Общее руководство качеством и стандарты по обеспечению качества. Часть 1. Руководящие указания по выбору и применению.  – М.: ИПК Издательство стандартов, 1998. –с. 32.

Международный стандарт ISO 9004-1-94. Управление качеством и элементы системы качества. Часть 1. Руководящие указания. – М.: ИПК Издательство стандартов, 1998. – с. 41.

Международный стандарт ISO/IEC IS 17799-2:2005. Информационные технологии. Практические правила менеджмента информационной безопасности. – М.: ООО "GlobalTrust Solutions", 2005. – с. 96 (www.GlobalTrust.ru).

Международный стандарт ISO/IEC IS 27001:2005.  Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования. – М.: ООО "GlobalTrust Solutions", 2005. – с. 112 (www.GlobalTrust.ru).