Главная » Выпуски » Конференция 2013


Пробные занятия. Бесплатно!
Приглашаем всех желающих посетить бесплатные пробные занятия по курсам МВА и профессиональной подготовки. Занятия проходят в реальных группах, никаких постановочных занятий. Ознакомиться с расписанием пробных занятий, выбрать заинтересовавшее и зарегистрироваться на него можно здесь

Обеспечение непрерывности безопасности бизнеса. Функциональная модель

Posted Апрель 14th, 2013 by admin

Алёшин В.Д.,
к.т.н., профессор кафедры «Системы управления бизнес-процессами»
Школы IT-Менеджмента РАНХиГС при Президенте РФ.

Баскаков А.В.,
начальник группы по ИБ ТПО Комус/
Ведущий аудитор по ISO 27001:2005 /
член АРСИБ

Ёрхов Е.В.,
генеральный директор ООО "Ай Экс Ай лаборатория защиты информации

Непрерывность бизнеса – актуальное направление стратегического и оперативного менеджмента, основной целью которого является минимизация потерь в случае его прерывания. В  настоящее время, в условиях обострения конкуренции и  многочисленных фактах информационных утечек бизнес становится зависим от качества процесса обеспечения безопасности.

Существующий стандарт ISO/IEC 27001:2005 “Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования” [1] имеет ряд недостатков, что затрудняет его практическое применение без специальной подготовки:

  • в стандарте используется вербальное описание;
  • уровень изложения материала в стандарте достаточно общий. Вопросы практической реализации остаются ”за кадром”.  Это вызывает серьезные трудности для практического применения требований стандартов;
  • используется только цикл PDCA;
  • не прописан механизм обратной связи в соответствии с требованиями стандарта и анализа предпринятых корректирующих действий;
  • не указан механизм превентивных действий и т.д.;
  • нет четкого распределения ролей участников процессов при реализации требований стандарта.

В докладе ставилась следующая задача. Применяя требования международного стандарта по информационной безопасности ISO/IEC 27001:2005, цикл PDCA и его расширение – цикл SDCA построить функциональную модель обеспечения непрерывности безопасности бизнеса в нотациях стандарта ISO IDEF0 1 [2]. Целью моделирования являлось – формализация  процесса обеспечения непрерывности безопасности бизнеса, определение его участников и их ролей для превращения модели в референсную. 

Для достижения поставленной цели описанный в стандарте цикл PDCA (циклом стратегического управления), предлагается дополнить циклом оперативного управления SDCA. Таким образом, обеспечивается не только декларированные в стандарте создание,  внедрение, эксплуатация, мониторинг, анализ системы управления информационной безопасности, а также сопровождение и совершенствование.

Построение и описание функциональной модели процесса обеспечения непрерывности безопасности бизнеса использует методологию SADT 2 [3]. Основным положением этой методологии является представление любой системы в виде блока в котором вход (I) при наличии управления (C) преобразуется в выход (O) посредством (при помощи) механизма (исполнителя) (M).

Функциональная модель рассматривается с точки зрения владельца бизнеса. Владелец бизнеса определяет стратегию бизнеса, выделяет ресурсы на обеспечение этой стратегии, назначает ответственного за процесс и контролирует (получает) результаты в соответствие с поставленными целями. Входами модели будут ресурсы и инциденты. Управление будет состоять из: стратегии бизнеса, стандартов безопасности, стратегии безопасности бизнеса, политики безопасности бизнеса, угроз и целей защиты, базы данных “Инциденты”, карты рисков. Ответственным исполнителем процесса (менеджером процесса) будет  Chief Security Officer (CSO). На выходе процесса будет: проект стратегии безопасности бизнеса, проект политики безопасности бизнеса, проект карты рисков, проект угроз и целей защиты, скорректированная база данных “Инциденты” и как конечный результат – защищенный бизнес. Ключевым моментом является то, что на выходе процесса мы получаем проекты документов, утверждение которых должен осуществлять владелец бизнеса как постановщик задачи и владелец выделяемых ресурсов. Тезис, что CSO утверждает стратегию безопасности бизнеса, политику безопасности бизнеса, карту рисков, угрозы и цели защиты является ложным, так как CSO не может нести ответственность за бизнес и это полностью соответствует требованию п.1.2. стандарта: “Любые исключения механизмов контроля, которые сочли необходимыми для удовлетворения критериям принятия рисков, должны быть обоснованы, а также должны быть представлены свидетельства того, что соответствующие риски были приняты ответственными лицами” [1].

Согласно методологии  SADT процесс обеспечения непрерывности безопасности бизнеса декомпозирован на подпроцессы:

  • “Определять стратегию и политику безопасности бизнеса”,
  • “Определять угрозы, цели защиты, карту рисков”,
  • “Управлять механизмами контроля”,
  • “Регулировать обеспечение непрерывности безопасности бизнеса”.

Первый, второй и третий подпроцессы функциональной модели являются процессами стратегического уровня управления, четвертый – оперативным уровнем управления.  Механизм обратной связи от подпроцесса  4 к подроцессу 3 – “Статус отчет о регулировании”, от подпроцесса 3 к подроцессу 2 – “Требование на пересмотр угроз”, от подпроцесса 2 к подроцессу 1 – “Требование на пересмотр политик / стратегии”, является ключевыми и обеспечивают реализация регулирования и совершенствования.  На схеме для каждого из подпроцессов обозначены роли основных исполнителей. Это позволяет определить ролевое распределение обязанностей в процессе обеспечения непрерывности безопасности бизнеса и позволяет четко формализовать задачи и зоны ответственности.

Основные результаты, полученные в работе

  • Предложенная функциональная модель расширяет толкование требований стандарта и может служить методологической основой для практического применения при построении и совершенствовании СУИБ.
  • Предложен способ визуального представления требований стандарта, что облегчает процесс понимания этих требований.
  • Использование сущностей “Статус-отчеты” позволяют “запустить” механизм совершенствования СУИБ в соответствии с методологией кайдзен.
  • Ролевое распределение обязанностей позволяет явно определить зоны ответственности специалистов безопасности.

Выводы

  • Предлагается подход, на основе которого, процесс обеспечения непрерывности безопасности бизнеса можно перевести из искусства управления в условиях неопределенности в стандартную инженерную деятельность.
  • Реализация требований стандарта должна сочетаться с построением функциональной модели обеспечения безопасности.

Совершенствоваться должны не только требования стандарта, но и методы работы с ним.

Литература

  • BS ISO/IEC 27001:2005 “Информационные технологии – Методы обеспечения безопасности – Системы управления информационной безопасностью – Требования”.
  • Методология IDEF0. Стандарт. Русская версия.
  • Методология структурного анализа и проектирования SADT Structured Analysis & Design Technique – М: Мета Технология  - 1993.

1C 01.07.02 стандарт РФ

2SADT – Structured  Analysis & Design Technique

Ваша оценка: Пусто Средняя: 5.5 (2 голосов)
Школа IT-менеджмента Экономического факультета АНХ, 119571, Россия, г. Москва, проспект Вернадского, д. 82 корп. 2, офис 207, тел.: +7 (495) 933-96-00, Copyright @ 2008-2009