В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
И.Б.Паращук
Военная академия связи, г. Санкт-Петербург
Т.М.Хасан
Военная академия связи, г. Санкт-Петербург
АНАЛИЗ основ системного подхода к МИБ ТКС НГК, определяемых с общесистемных позиций стандартов серии 9000, и их сравнение с конкретными требованиями к системе менеджмента информационной безопасности (ИБ), установленными современными стандартами в данной сфере2, дает возможность взглянуть на МИБ как на комплексный и эволюционирующий процесс наблюдения, оценивания и прогнозирования качества систем защиты информации (СЗИ) сетей такого класса.
Основы системного подхода к МИБ ТКС НГК
Мониторинг ИБ должен пронизывать все уровни ТКС НГК и представлять собой единый взаимоувязанный процесс на различных уровнях управления сетью.
Заказчики и потребители продукции СЗИ ТКС НГК рассчитывают на то, чтобы характеристики используемых телекоммуникационных услуг удовлетворяли бы их потребностям и ожиданиям с точки зрения защищенности информации. Эти потребности и ожидания отражаются в технических условиях заказчика (для этапов проектирования, разработки и производства) и руководящих документах по организации процесса защиты информации (для этапа эксплуатации). Системный подход к менеджменту качества СЗИ ТКС НГК побуждает разработчиков и производителей СЗИ (на этапах проектирования, разработки и производства) и инженеров-администраторов СЗИ ТКС НГК (на этапе эксплуатации) проводить следующие мероприятия:
Применительно к терминам ГОСТ Р ИСО 9000-2001, ориентированного на общесистемные позиции стандартов серии 9000, под менеджментом качества СЗИ ТКС НГК целесообразно понимать скоординированную деятельность по руководству и управлению информационной безопасностью ТКС НГК в отношении качества (рис. 1).
Использование общесистемных стандартизованных понятий менеджмента качества применительно к процессам менеджмента качества СЗИ ТКС НГК позволяет рассматривать функционирование СЗИ ТКС НГК как процесс. Систематическая идентификация и менеджмент применяемых СЗИ ТКС НГК процессов и обеспечение их взаимодействия могут считаться "процессным подходом".
При мониторинге в рамках системы менеджмента качества в ГОСТах много внимания уделено общесистемным терминам "качество" и "оценивание". Качество СЗИ ТКС НГК можно определить как степень соответствия присущих СЗИ ТКС НГК характеристик требованиям. В этом случае оценивание СЗИ ТКС НГК подразумевает под собой основу получения объективных данных, подтверждающих или опровергающих наличие требуемого качества СЗИ ТКС НГК в конкретных условиях функционирования. Важными понятиями, относящимися к мониторингу в целом и к оцениванию качества СЗИ ТКС НГК в частности, являются "верификация" и "валидация". Под "верификацией" понимается подтверждение на основе представления объективных свидетельств того, что установленные требования ИБ ТКС НГК были выполнены. "Валидация" - это подтверждение на основе представления объективных свидетельств того, что установленные требования ИБ ТКС НГК, предназначенные для конкретного применения, были выполнены.
Верификация в рамках МИБ ТКС НГК представляет собой симбиоз решения двух задач:
Очевидно, что на процесс оценивания состояния СЗИ сети оказывает непосредственное влияние ряд факторов, главными из которых являются факторы, характеризующие этапы технической эволюции (ТЭ), жизненного цикла (ЖЦ) и условия эксплуатации.
МИБ обеспечивает информационно-расчетное управление СЗИ в конкретных условиях и обоснование своевременности и необходимости смены ЖЦ и фазы ТЭ СЗИ, действий по обслуживанию и ремонту элементов СЗИ, восстановлению их характеристик и модернизации.
Анализ процесса МИБ с общесистемных позиций стандартов серии 9000 показывает, что МИБ ТКС НГК должен охватывать все пространство состояний ИБ сети с учетом всего диапазона факторов, влияющих на качество СЗИ ТКС НГК, и быть адаптивным. Последнее подразумевает под собой способность изменять режимы (алгоритмы наблюдения, уровни, объем, номенклатуру контролируемых параметров ИБ) в зависимости от определенных угроз безопасности информации и других факторов.
Требования к ИБ в рамках стандарта ISO/IEC IS 27001:2005
Наряду с глобальными направлениями развития форм, закономерностей и факторов эволюции МИБ существуют конкретные особенности, понятия и положения для систем менеджмента ИБ, определенные стандартом ISO/IEC IS 27001:2005.
Указанный стандарт является стандартом де-факто в области построения систем управления ИБ. Его положения на добровольной основе применяют в десятках стран мира множество компаний. В России официальную сертификацию по стандарту ISO/IEC IS 27001:2005 прошла подсистема менеджмента ИБ системы управления персоналом телекоммуникационной дочерней компании "ЛУКОЙЛ-Информ".
Как и стандарт ISO/IEC IS 17799-2:2005, данный стандарт является продолжением и развитием стандарта BS 7799, в котором оговариваются аспекты сертификации ISMS (Information Security Management Systems) систем управления (СУИБ). Сертификация на соответствие стандарту BS 7799 позволяла владельцам информационных ресурсов компаний и их партнерам быть относительно уверенными в том, что подсистема ИБ их организаций построена правильно и функционирует эффективно. Однако широкое международное признание этот стандарт получил лишь после того, как на его основе были приняты стандарты ISO/IEC IS 17799-2:2005 и ISO/IEC IS 27001:2005. Причем "прародителями" последних стали соответственно первая и вторая части стандарта BS 7799 (см. рисунок).
Стандарт ISO/IEC IS 27001:2005 официально вводит в пользование понятие СУИБ и определяет его как систематический подход к управлению конфиденциальной информацией компании. Современная система управления ИБ, сертифицированная в соответствии с новым стандартом ISO/IEC 27001:2005, значительно упрощает процесс управления ИБ предприятия.
Основные положения ISO/IEC IS 27001:2005
Интересен подход, на основе которого в рамках стандарта ISO/IEC IS 27001:2005 определяется понятие "информационная безопасность": сохранение конфиденциальности, целостности и доступности информации. В понятие "информационная безопасность" могут также быть включены и другие свойства: подлинность, невозможность отказа от авторства, достоверность.
Основной задачей построения ИБ ТКС НГК согласно указанному стандарту является защита информационных ресурсов компании НГК от внутренних и внешних умышленных и неумышленных угроз, а целью -обеспечение непрерывности бизнеса компании и минимизация бизнес-рисков путем предупреждения инцидентов нарушения ИБ и уменьшения размеров потенциального ущерба.
В соответствии с ISO/IEC IS 27001:2005 одним из основных элементов внедрения СУИБ является разработка "Политики информационной безопасности компании". В этом документе должны содержаться: определение ИБ и ее цели; область применения системы менеджмента ИБ; основные положения политики ИБ компании; ссылки на документацию СУИБ.
Первым шагом реализации положений "Политики информационной безопасности" для ТКС какой-либо компании НГК должна является разработка и внедрение следующих документов:
Одними из наиболее характерных особенностей с точки зрения понятий и положений систем менеджмента ИБ в рамках конкретных требований, определенных стандартом ISO/IEC IS 27001:2005, являются понятия ключевых компонентов ИБ:
В стандарте ISO/IEC IS 27001:2005 определяются и другие значимые понятия:
Взаимосвязанные аспекты ИБ
В настоящей статье представлены два логически взаимосвязанных понятийных аспекта ИБ. Рассмотренные с общесистемных позиций ключевые понятия и положения менеджмента и МИБ позволяют определить роль и место процесса обеспечения ИБ в общих границах менеджмента качества сложных систем. Анализ ISO/IEC IS 27001:2005 дает возможность говорить о конкретных понятиях и положениях реальных систем менеджмента И Б. Очевидно, что при реализации научных исследований необходимо опираться на общесистемные понятия менеджмента качества, а для инженера-практика гораздо важнее рекомендации стандарта ISO/IEC IS 27001:2005.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2006