Разработка корпоративных стандартов ИБ Холдинга

Сегодня ИБ - это не только вопрос избежания потерь и получения конкурентных преимуществ, это одно из важных условий развития бизнеса.

ИТ и ИБ должны работать на бизнес, а не сами на себя. База для решений о применении любых мер ИБ - требования законодательства и оценка бизнес рисков. Механизмы ИБ обосноваются экономически и согласовываются с международными стандартами.

Основными целями внедрения корпоративных стандартов ИБ Холдинга являются:
• защита информационных активов бизнеса от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных
• обеспечение непрерывности бизнеса
• минимизация ущерба бизнесу в результате осуществления инцидентов ИБ
• получение дополнительных возможностей за счет безопасного использования ИТ

Разработка корпоративных методик управления ИБ

У каждого бизнеса имеются свои особенные черты, связанные с характером ведения бизнеса. Эти особенности влияют на используемые ИТ и требования к обеспечению ИБ.
Корпоративные требования должны быть достаточными и обоснованными. Избыточность требований по ИБ не желательна.

Проект разработки корпоративных требований ИБ Холдинга включает:
• определение требований, предъявляемых к компании
• обследование действующих процессов обеспечения ИБ в компании
• адаптация выбранных при выработке требований российских и международных стандартов
• разработка корпоративных требований Холдинга по ИБ
• разработка пакета организационно - распорядительных документов
• проектирование и внедрение необходимых для обеспечения требований средств и систем защиты информации.

Проведён обзор стандартов управления ИБ.

Принято решения за основу оргмодели управления ИБ принять подход, с применением системы процессов в соответствии с рекомендациями стандарта BS ISO/IEC 27001:2005 и практиками по внедрению BS ISO/IEC 17799:2005. А также использовать стандарт Банка России СТО БР ИББС-1.0 “Обеспечение информационной безопасности организаций банковской системы РФ”. Такой вариант наиболее точно соответствует потребностям бизнесов Холдинга в управлении, так как прозрачен, переносим и не требует для применения в Холдинге крупных капиталовложений.
1 Структура Холдинга - заказчика разработки
Холдинг состоит из восьми различных по структуре и размеру бизнесов с численность сотрудников от 30 до 3000. Один из бизнесов – банк.

2 Методы реализации программы стандартизации информационной безопасности
Кoмпании Хoлдинга должны обеспечить целостность, конфиденциальность и доступность своих информационных ресурсов. Деятельность бизнесов Холдинга нацелена на получение прибыли, ИБ направлена на предоставление эффективных, безопасных и заслуживающих доверия продуктов и услуг клиентам и контрагентам, предотвращение мошенничества и утечки конфиденциальной информации, обеспечение соответствия законодательству.

Основные принципы управления рисками ИБ
В бизнесах Холдинга различные процессы, продукты и услуги, тем не менее рекомендуется использовать пять общих принципов управления рисками ИБ.
1. Оценка рисков и определение потребности
2. Централизация управления
3. Внедрение установленных политик и обеспечение средствами контроля
4. Содействие осведомленности персонала
5. Контроль и оценка эффективности политик и механизмов контроля

Развитие ИБ, соответствующей основным принципам - ключевой элемент организации эффективной системы ИБ. Бизнесы Холдинга должны постоянно:
• исследовать и оценивать риски ИБ, влияющие на бизнес-процессы;
• обеспечить централизацию управления ИБ;
• утвердить политики, стандарты, и средства контроля (управления).
• обеспечивать осведомленность и понимание проблем персоналом;
• контролировать соответствие и повышать эффективность.

3 Анализ текущего состояния информационной безопасности в бизнесах Холдинга
В бизнесах холдинга до 2010 не проводилось централизованной политики управления ИБ. В каждом из бизнесов принимались решения по ИБ самостоятельно. Уровень ИБ в разных бизнесах существенно различался. В связи с увеличением количества инцидентов в области компьютерной безопасности руководством УК Холдинга была поставлена задача перед СБ и СИТ,собрать информацию, провести анализ текущего состояния и подготовить предложения по стандартизации ИБ.

Методика анализа защищенности
Типовая методика включает использование следующих методов:
• Изучение исходных данных по АС;
• Оценка рисков, связанных с реализацией угроз ИБ в отношении ресурсов АС;
• Анализ механизмов безопасности организационного уровня, политики ИБ организации и ОРД по обеспечению режима ИБ и оценка их соответствия требованиям законодательства, и их адекватности существующим рискам;
• Ручной анализ конфигурационных файлов маршрутизаторов, МЭ и серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов и других критических элементов сетевой инфраструктуры;
• Сканирование внешних сетевых адресов ЛВС из сети Интернет;
• Сканирование ресурсов ЛВС изнутри;
• Анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных агентов.

3.1 Исходные данные по обследуемой АС
• Разработан список документации необходимой для проведения аудита ИБ и анализа рисков ИБ.
• Собрана информация с бизнесов согласно утверждённому списку.

3.2 Анализ данных аудита
Описаны подходы к анализу данных при аудите. Сделан вывод, что наиболее эффективно использовать утверждённый набор требований ИБ, предъявляемых к ИС, определённый стандартом и учитывать особенности функционирования данной ИС на основе анализа рисков.

3.3 Выявленные в результате анализа проблемы
Для анализа проведен внутренний аудит и самодиагностика на соответствие стандарту ИБСС.
Исследование состояния ИБ в компаниях Холдинга выявило следующие проблемы:
• отсутствует централизованное управление службами ИБ, нет документированных критериев качества работы.
• в Холдинге отсутствуют нормативные документы по ИБ.
• в бизнесах Холдинга для защиты информации используются средства от разных производителей.
• отсутствует постоянный контроль со стороны подразделений ИБ за действиями ИТ – специалистов.
• сотрудники не знают основ ИБ и правил безопасной работы с компьютерной техникой, Интернетом и электронной почтой, обучение сотрудников по данной тематике не проводится.
• руководство бизнесов зачастую рассматривает проблему обеспечения ИБ как исключительно техническую.

Перечисленные проблемы приводят к следующим негативным последствиям:
• умышленное нарушение требований и обход средств защиты информации сотрудниками компании;
• отсутствие реального представления об уровне обеспечения ИБ у ответственных сотрудников;
• невозможность оценки руководством состояния защищенности компании;
• сложность обоснования необходимого уровня финансирования мероприятий по обеспечению ИБ.

Выводы проведенного исследования состояния ИБ в бизнесах Холдинга и анализ возникающих инцидентов показал, что для обеспечения защиты информации в компаниях Холдинга необходимо создать комплексную систему ИБ, учитывающую человеческий фактор как основной информационный риск, охватывающую все информационные ресурсы и каналы передачи информации.

Непонимание важности ИБ, недооценка существующих угроз и отсутствие поддержки со стороны руководства приводит к ослаблению системы управления ИБ, нехватке финансирования и невыполнению действий и мероприятий по повышению уровня защищенности.

3.4 Выводы по результатам анализа
Выводы проведенного исследования состояния ИБ в бизнесах Холдинга и анализ возникающих инцидентов показал, что для обеспечения защиты информации в компаниях Холдинга необходимо создать комплексную систему ИБ, учитывающую человеческий фактор как основной информационный риск, охватывающую все информационные ресурсы и каналы передачи информации.

4 Разработка стандарта информационной безопасности
Мерориятия по разработке пакета ОРД
• разработка комплекса критериев построения системы ИБ - определение приемлемых уровней риска
• разработка концепции обеспечения ИБ
• разработка требований к системе ИБ
• разработка организационно-распорядительной документации
• разработка рекомендаций по управлению ИБ

Структура организационно-нормативной документации
• Концепция ИБ, определяет цели и задачи защиты информации, объекты защиты, техническую политику и принципы построения защиты, модель угроз, выбор уровней защиты и контроль эффективности защиты;
• Политика ИБ, состоящая из требований к персоналу, степени ответственности, структуры и необходимого уровня защищённости подсистем и должностных обязанностей сотрудников;
• Разработка инструкций и процедур применения правил ИБ.

4.1 Стандарт Холдинга «Обеспечение информационной безопасности. Общие положения» (Концепция)
Разработан стандарт по обеспечению ИБ в организациях Холдинга.
Концепция рекомендована для применения путем включения ссылок на него и (или) прямого использования определённых в ней положений во документции организаций СКМ Холдинга.

Концепция:
Для снижения рисков нарушения ИБ и управления ими акционеры создают уполномоченный орган - службу ИБ, организуют эксплуатацию СОИБ и эксплуатацию АС по правилам и требованиям СОИБ.
Стратегия обеспечения ИБ бизнесов Холдинга заключается в эффективном использовании разработанных мер по обеспечению ИБ, для противдействия атакам злоумышленников.
Руководство организации должно иметь достоверную информацию, что защищать. Для этого требуется выделить и защитить все информационные активы, реализация потенциальных угроз в отношении которых нанесёт ущерб копании.

Наибольшие возможности для нанесения ущерба организации имеют ее собственные сотрудники. Внешний нарушитель, обычно, имеет сообщника внутри организации. Незлоумышленные действия собственных сотрудников создают либо уязвимости ИБ, либо инциденты, понижающие уровень доступности, целостности и конфиденциальности.

Риски нарушения ИБ должны быть согласованы и связаны с рисками бизнес-деятельности организации через потенциальный ущерб.

Один из основных инструментов акционера в обеспечении ИБ - основанный на опыте прогноз.
Наиболее эффективный путь снижения рисков нарушения ИБ компании - разработать политику ИБ организации и в соответствии с ней реализовать, эксплуатировать и развивать СОИБ организации. Политика ИБ разрабатывается на основе накопленного опыта в области ИБ, определения активов, подлежащих защите, результатов оценки рисков.
Постоянный мониторинг и изучение ИТ-инфраструктуры компании для выявления и устранения уязвимостей ИБ - основа эффективной работы СОИБ.
Анализ и оценка рисков нарушения ИБ основывается на определении активов организации, на их цены для целей и задач компании, на моделях угроз и нарушителей ИБ организации.

Соблюдение политики ИБ является элементом корпоративной этики.
Модели угроз и нарушителей информационной безопасности организации
Бизнес-единица должна описать конкретные объекты среды информационных активов всех уровнях ИТ-инфраструктуры.

Основные источники угроз ИБ:
• неблагоприятные события техногенного, природного и социального характера, криминал
• зависимость от поставщиков, провайдеров, партнеров, клиентов
• сбои, отказы, повреждения программных и технических средств
• сотрудники компании, реализующие угрозы ИБ с использованием предоставленных им прав
• сотрудники организации, реализующие угрозы ИБ вне предоставленных им прав, а также субъекты, осуществляющие попытки НСД и НРД (внешние нарушители ИБ)
• несоответствие требованиям надзорных и регулирующих органов, действующему законодательству.
• внешние нарушители ИБ: лица, распространяющие вирусы и другие вредоносные программы; лица, организующие различные виды атак, осуществляющие попытки НСД.
• внутренние нарушители ИБ: сотрудники, имеющие права доступа к оборудованию, в т.ч. сетевому, администраторы серверов, сетевых приложений и т.п.
• комбинированные источники угроз: внешние и внутренние нарушители ИБ, действующие совместно.

Система информационной безопасности организации
Требования к СИБ должны быть сформированы и документированы:
• назначения и распределения ролей и обеспечения доверия к персоналу
• защиты от НСД и НРД, управления доступом и регистрацией всех действий в АС, в телекоммуникационном оборудовании, АТС и т.д.
• антивирусной защиты
• использования ресурсов сети Интернет
• использования СКЗИ
• защиты платежных и ИТ процессов, процессов, в рамках которых обрабатываются персональные данные.

Система менеджмента информационной безопасности

Для реализации, эксплуатации, контроля и поддержания на должном уровне СОИБ руководству следует сформировать службу ИБ и определить цели и задачи ее деятельности.
Документировать опись информационных активов, структурированных по классам защищаемых.
Принять методику оценки рисков нарушения ИБ / подход к оценке рисков нарушения ИБ.
По каждому из рисков нарушения ИБ документально определить план, определяющий способ его обработки.

Разработку внутренних документов по обеспечению ИБ, проводить с учетом стандарта обеспечения ИБ организаций СКМ Холдинга.

Документировать, регламенты процедур обработки инцидентов
Проверка и оценка информационной безопасности организаций
Проверка и оценка ИБ организаций проводится путем выполнения следующих процессов: мониторинга и контроля защитных мер, самооценки ИБ, аудита ИБ, анализа функционирования СОИБ.

Основными целями мониторинга и контроля защитных мер в организации являются оперативное и постоянное наблюдение, сбор, анализ и обработка данных под заданные цели.
Мониторинг и контроль защитных мер проводится сотрудником, ответственным за ИБ.
При подготовке к аудиту ИБ рекомендуется проведение самооценки ИБ. Самооценка ИБ проводится собственными силами и по инициативе руководства организации.

4.2 Разделы стандарта информационной безопасности
Разработаны и рекомендованы к утверждению рукодителями бизнесов Холдинга следующие организационно-распорядительные документы:
Обязательные для применения в утверждённой редакции:
• Правила обеспечения ИБ
• Политика резервного копирования данных
• Политика обеспечения ИБ удаленного доступа к корпоративной сети
• Памятка пользователя по обеспечению безопасности удаленного доступа
• Антивирусная политика
• Инструкция по защите от компьютерных вирусов
• Политика обеспечения безопасности платежных систем
• Парольная политика
• Политика управления доступом к ресурсам корпоративной сети
• Политика аудита безопасности
• План проведения ежегодного аудита безопасности
• Структура отчета по результатам аудита безопасности ИС и анализу рисков
• Политика установки обновлений ПО
• Руководство по защите конфиденциальной информации
• Перечень сведений, составляющих конфиденциальную информацию
• Правила обращения с конфиденциальной информацией
• Правила обращения с информацией, являющейся строго конфиденциальной
• Политика информационной безопасности
• Политика инвентаризации информационных активов

Обязательные для применения в адаптированной бизнесом редакции:
• Регламент резервного копирования
• План защиты от НСД информации
• Заявка на предоставление доступа
• Политика обеспечения ИБ при осуществлении взаимодействия с Интернет
• Заявка на предоставление доступа
• Процедура управления записями об ИБ
• Форма предоставления данных об ИБ
• Реестр информационных активов
• Политика обеспечения физической безопасности помещений и оборудования
• Политика контроля СУИБ организации со стороны руководства
• Схема действий по обнаружению аварии и первичным ответным мерам

Рекомендованные, в адаптированной бизнесом редакции:
• План обеспечения непрерывности бизнеса
• Аварийные процедуры
• Программа тестирования BCP
• Протокол тестирования BCP
• Регламент использования мобильных устройств
• Регламент работы сцифровыми носителями конфиденциальной информации
• Журнал учета КЦН

4.3 Организация внедрения "Стандарта ИБ"
Согласно Распоряжению Президента Холдинга о внедрении «Стандарта информационной безопасности» в Бизнесах ГП Холдинга:
• Начать проект по внедрению «Стандарта ИБ» в Бизнесах ГП Холдинга
• Назначить координатором проекта руководителя СИТ. Координатору проекта подготовить план работ в срок до 1.04.2011 г.
• Утвердить в качестве базового Стандарта пакет документов согласно Приложению.
• Генеральным директорам Бизнесов для внедрения Стандарта назначить руководителей проектов в своих Бизнесах. Срок до 10.04.2011 г.
• Координатору проекта разработать и передать набор типовых документов руководителям проектов срок до 11.14.2011г.
• Руководителям проектов представить сетевой график проекта в предварительной редакции в срок до 16.05.2011 г.
• С распоряжением ознакомить членов Совета Директоров; Генеральных директоров Бизнесов и руководителей УК Холдинга.
• Контроль выполнения распоряжения возлагаю на руководителя СИТ УК Холдинга

4.4 Перечень затрат организации на обеспечение ИБ
Постоянные затраты на ИБ можно разделить на следующие блоки.
Управление системой защиты информации:
• Затраты на составление планов системы защиты информации бизнеса.
• Затраты на определение ИТ-инфраструктуры бизнеса для безопасности конфиденциальной информации.
• Затраты на техническую поддержку сотрудников и средств защиты.
• Контроль лояльности персонала.
Регламентное обслуживание системы защиты информации:
• Затраты на обслуживание средств защиты, ОС и сетевого оборудования.
• Затраты на сетевое взаимодействие и безопасное применение ИС.
• Затраты на систему резервного копирования.
• Затраты на установку сигнализации, созданию архивов конфиденциальных документов, защите линий связи, средств ВТ и т. п.

Аудит системы безопасности:
• Затраты на контроль состояния ИТ среды бизнеса.
• Затраты на систему контроля за сотрудниками.

Обеспечение качества ИТ:
• Затраты на соответствие требованиям качества ИТ.
• Затраты на доставку (обмен) конфиденциальной информации.
• Удовлетворение субъективных требований пользователей: стиль, удобство интерфейсов и др.

Обеспечение требований стандартов:
• Затраты на обеспечение соответствия принятым стандартам.

Обучение персонала:
• Повышение квалификации персонала бизнесов Холдинга в использовании средств защиты, выявлении и предотвращении угроз ИБ.
• Разработка нормативной базы СИБ.

Затраты на контроль:
• Плановые проверки и испытания.
• Затраты на проверки и испытания средств защиты информации.
• Затраты на реализацию конкретных процедур безопасности по бизнесам.
• Затраты на контроль правильности ввода данных в ИС.
• Затраты на инспекцию требований, предъявляемых к защитным средствам при разработке ИС.

Контроль за соблюдением политики ИБ:
• Затраты на контроль управления защитой коммерческой тайны.
• Затраты на обеспечение взаимодействия между службами для решения конкретных задач.
• Затраты на аудит ИБ по каждой ИС, в информационной среде бизнеса.
• Затраты на материально-техническое обеспечение системы контроля доступа.

Затраты на внешний аудит:
• Затраты на контрольно-проверочные мероприятия

Пересмотр политики ИБ предприятия (проводится периодически):
• Затраты на определение угроз безопасности.
• Затраты на выявление уязвимостей системы ИБ.
• Затраты на специалистов, выполняющих оценку потенциального ущерба.

Затраты на ликвидацию последствий нарушения ИБ:
• Затраты на восстановление системы ИБ.
• Применение патчей или последних версий программных средств защиты.
• Затраты на замену технических средств взамен вышедших из строя.

Восстановление информационных ресурсов предприятия:
• Затраты на восстановление баз данных.
• Затраты на контроль достоверности данных.

Затраты на выявление причин нарушения политики безопасности:
• Затраты на расследование нарушений политики безопасности.
• Затраты на изменение плана обеспечения непрерывности деятельности СИБ.

5 Заключение
Требуемый уровень ИБ в организациях Холдинга может быть обеспечен только на базе комплексного подхода, реализуемого через разработку и внедрение эффективных ПБ. Такие ПБ устанавливают необходимый и достаточный набор требований ИБ, для снижения рисков ИБ до приемлемго уровня. ПБ должны оказывать минимальное влияние на производительность труда, учитывать особенности бизнес-процессов компании, поддерживаться руководством, позитивно восприниматься и исполняться сотрудниками организации. Для обеспечения эффективности ПБ, требуется осуществлять постоянный контроль ее исполнения, повышать осведомленность персонала бизнесов Холдинга в вопросах ИБ и обучать его выполнению правил, предписываемых ПБ.

Разработка и внедрение политик в организации – процесс, в котором необходимо участие представителей всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса должен быть специалист, на которого возложена ответственность за обеспечение ИБ.