Методика проектирования системы информационной безопасности в ИТ-холдинге

Кис А.В.
выпускник группы MBA CIO-28а
Школа IT-менеджмента
РАНХиГС при президенте РФ

Введение

Быстрое развитие и повсеместное проникновение информационных технологий в самые различные сферы деловой деятельности привело к тому, что информация в настоящее время имеет вполне определенную стоимость. В связи с этим выросла вероятность утечки защищаемой информации, что привело к необходимости применения защитных мер для предотвращения ее утечек.

Меняется среда ведения бизнеса: мобильность, совместная работа, виртуализация и вычислительные облака становятся причинами появления новых угроз. За последние несколько лет одним из приоритетов в области бизнеса стало: обеспечение бесперебойности деятельности, снижение рисков и повышение защищенности.

Информационная безопасность (далее ИБ) - это длительный и сложный процесс, состоящий из множества элементов. Малейшая уязвимость и несогласованность (например, со службой ИТ) в любом из них приводит к ослаблению всей системы. Поэтому к ИБ нужен комплексный подход.

Бизнес задача

Основными задачами системы ИБ являются обеспечение конфиденциальности, целостности и доступности информации.
Крайне важно при решении данных задач добиваться экономической эффективности ИБ. Необходимо оценивать стоимость защищаемой информации, ущерб от инцидентов, эффективность проектов по ИБ.

Объектом исследования работы являлась система ИБ крупного ИТ-холдинга.
Цель дипломной работы - разработка централизованного подхода к обеспечению и управлению ИБ в крупной российской ИТ-компании с распределенной филиальной сетью, на основе практического внедрения.

Для достижения поставленной цели в работе решались следующие задачи: исследование вопросов управления ИБ; проведение аудита ИБ; создание организационно-распорядительных документов по ИБ; формирование портфеля проектов ИБ, направленных на достижение приемлемого уровня защищенности с экономическим обоснованием инвестиций в безопасность.

Методология

При построении или модернизации системы обеспечения ИБ необходимо руководствоваться едиными принципами и подходами. В противном случае конечным результатом станет разрозненный набор технических средств и документов, который нельзя будет назвать "системой" и эффективность которого будет невысока. Соответственно, сделанные компанией инвестиции не дадут ожидаемого эффекта.

Проект создания системы ИБ в ИТ-холдинге включал ряд этапов, отраженных на Рис. 1.

Рис. 1. Полный цикл работ по обеспечению информационной безопасности

Стартом проекта стал проведенный внешней организацией анализ угроз и уязвимостей (GAP-анализ) и технический анализ (тесты на проникновение) применяемых механизмов обеспечения ИБ в ИТ-холдинге. В ходе выполнения аудита использовались передовые методики и стандарты, такие как Open Source Security Testing Methodology Manual [1], Standards for Information Systems Auditing [2], Web Application Security Consortium [3], Open Web Application Security Project [4]

По результату проведенного аудита была разработана Концепция обеспечения ИБ. Определены основные цели, задачи и требования, а также общая стратегия построения системы ИБ, составлен перечень важных информационных ресурсов.

Следующим этапом построения системы ИБ было ее проектирование, включая систему управления ИБ. При выборе поставщиков продуктов для комплексной системы ИБ, был проанализирован рынок основных производителей решений в области ИБ. Остановились на тех, кто входит в консорциум Open Platform for Security [5], объединяющий более 300 производителей, продукты которых можно интегрировать в «единый организм»

После проведения тестирования спроектированной системы ИБ, приступили к ее внедрению. Работы по внедрению включали выполнение следующих основных задач: поставка, инсталляция и настройка компонентов ИБ, приемо-сдаточные испытания, обучение пользователей и ввод системы ИБ в промышленную эксплуатацию.

Для эффективной дальнейшей эксплуатации системы необходимо обеспечить ее поддержку и сопровождение, собственными силами компании или силами привлекаемых специалистов.

Результаты

В результате проекта в ИТ-холдинге были разработаны и внедрены:

• базовые процессы поддержки ИБ на основе рекомендаций ITIL [6] и Cobit [7]
• политика ИБ
• частные политики ИБ
• план восстановления ИТ после сбоя
• проекты, направленные на достижение приемлемого уровня обеспечения ИБ
• регламенты, процедуры, внутренние технические стандарты

Заключение

В качестве критических факторов успеха построения системы ИБ необходимо рассматривать следующее: политика ИБ организации, принципы обеспечения ИБ, поддержка высшего руководства в вопросах безопасности, анализ и управления рисками, распространение разъяснений по политике ИБ среди сотрудников и контрагентов, сбалансированная система измерения эффективности и совершенствования системы ИБ.

Подводя итог, можно сказать, что система ИБ – это именно СИСТЕМА, требующая понимания, планирования и адекватных затрат для нормального и успешного функционирования. Успех растущего бизнеса, обеспечивается тщательным планированием, особенно в вопросах безопасности.

Литература

[1] OSSTMM 3, www.isecom.org, 2010
[2] ISACA, www.isaca.org
[3] WASC, www.webappsec.org
[4] OWASP, www.owasp.org
[5] OPSEC, www.opsec.com
[6] ITIL V3, www.itil-officialsite.com, 2007, 2011.
[7] COBIT 4.1, www.itgi.org, 2007.