Страница 2: ДСТУ ISO . ДСТУ ISO/TR 13335-2:2003 Інформаційні технології. Настанови з керування безпекою інформаційних технологій (IT). Частина 2. Керування та планування безпеки IT (41033)

Убезпеченювання IT — безперервний процес з багатьма зворотними зв'язками в середині і між стадіями життєвого циклу системи IT. Повний зворотний зв'язок наведено на рисунку 1. У більшості випадків зворотний зв'язок пронизує всю основну діяльність процесу захисту IT. Це забезпечує безперервний потік інформації щодо уразливості, загроз і засобів захисту системи IT протягом усіх трьох стадій життєвого циклу системи IT.

Також варто зазначити, що кожна із сфер діяльності організації може визначити унікальні

вимоги щодо захисту IT. Ці сфери повинні взаємно зміцнювати одна одну і весь процес захисту IT, спільно використовуючи інформацію про стан безпеки, що в свою чергу може впливати на процес прийняття керівних рішень.

8 КОРПОРАТИВНА МЕТОДИКА БЕЗПЕКИ IT

8.1Цілі

Цілі (які повинні бути досягнуті), стратегії (як досягнути цих цілей) і методики (правила для досягнення цілей) можна визначити для кожного рівня організації і для кожного ділового підрозділу чи відділу. Для досягнення ефективної безпеки IT необхідно впорядкувати різні цілі, стратегії і методики для кожного організаційного рівня і ділового підрозділу. Узгодженість між відповідними документами, незважаючи на вплив різних точок зору, дуже важлива, оскільки більшість загроз (таких як злом системи, знищення файлів і пожежі) — загальні проблеми ділової активності.

8.2Зобов'язання керівництва

Зобов'язання вищого керівництва щодо питань безпеки IT є важливим завданням і має приводити до офіційно узгодженої й задокументованої корпоративної методики безпеки IT. Корпоративна методика безпеки IT повинна бути отримана з корпоративної стратегії захисту.

8.3Взаємозв'язки методик

Рисунок 2 — Залежності між різними методиками

Відповідно до цього поняття корпоративна методика безпеки IT може бути включена до корпоративного технологічного й методологічного керування, і все це разом формує основу для загальних стратегічних положень в IT. Ці положення повинні містити деякі вагомі твердження на користь захисту, особливо якщо є необхідність узгодження захисту і стратегії. Рисунок 2 показує залежність між різними методиками. Незалежно від документації та адміністративної структури, що її використовують в організації, дуже важливо, щоб різні положення описаних методик були спрямовані, і це підтримає узгодженість.

Інші, деталізованіші, методики захисту IT необхідні для певних систем і служб або для групи систем IT і служб, їх зазвичай описують як методики захисту систем IT. Це важливий аспект керування, оскільки їхній контекст і межі чітко визначені й обґрунтовані діловими і технологічними підставами.

8.4 Елементи корпоративної методики безпеки IT

Корпоративна методика безпеки IT повинна охоплювати принаймні такі розділи:

• вимоги безпеки IT, наприклад, умови конфіденційності, цілісності, доступності, обліковості,достовірності і надійності, особливо з урахуванням уявлень власників активів;
• інфраструктура організації і розподіл обов'язків;
• інтеграція захисту в розробляння і реалізування системи;
• директиви і процедури;
• визначання класів для класифікації інформації;
• стратегії керування ризиком;
• планування непередбачених обставин;
• підготовка персоналу (особлива увага повинна приділятися службовцям, що займаютьвідповідальні посади, наприклад, технічному персоналу й адміністраторам системи);
• компетентність і навчання;
• юридичні і регуляторні зобов'язання;
• зовнішнє керування розроблянням й інформаційна взаємодія;
• реакція на інциденти.

9 ОРГАНІЗАЦІЙНІ АСПЕКТИ БЕЗПЕКИ IT

9.1 Функції та обов'язки

Безпека IT є міжгалузевою темою і стосується кожного проекту IT, системи і всіх користувачів IT в організації. Відповідний розподіл посад і розмежування обов'язків гарантують, що всі важливі завдання будуть успішно й ефективно виконані.

Цієї мети досягають за допомогою різних організаційних заходів залежно від розміру і структури організації. У кожній конкретній організації мають існувати такі структури:

• рада з безпеки IT, яка підсумовує міжгалузеві досягнення і затверджує директиви і стандарти;
• корпоративний (головний) контролер безпеки IT, який діє як центральна ланка всіх аспектівбезпеки IT в організації.

Як рада з безпеки IT, так і корпоративний контролер безпеки IT повинні мати добре визначені та однозначні обов'язки і мати достатній вплив, щоб гарантувати прив'язку до корпоративної методології безпеки IT. Організація повинна забезпечити надійний зв'язок, а також визначити повноваження й відповідальність корпоративного контролера безпеки IT, ці обов'язки повинні бути схвалені радою з безпеки IT. Перелік цих обов'язків може бути доповнений шляхом зовнішніх консультацій.

Рисунок 3 показує типовий приклад зв'язків між корпоративним контролером безпеки IT, радою з безпеки IT і представниками інших підрозділів в організації, таких як інші відділи безпеки, товариства користувачів і персонал IT. Ці стосунки можуть полягати як у безпосередньому керуванні, так і у функційному. Наприклад, для організовування безпеки IT, зображеної на рисунку 3, використовується три організаційних рівні, їх можна легко пристосувати до будь-якої організації, додаючи або виключаючи відповідні рівні згідно з потребами організації. Невеликі й середні організації можуть мати корпоративного контролера безпеки IT, чиї обов'язки охоплють всі питання, пов'язані з безпекою. Коли функції тісно залежать одна від одної, важливо забезпечити відповідні перевіряння й утримання рівноваги, щоб уникнути концентрації дуже великої кількості обов'язків у однієї особи, без можливості впливу на неї або контролю за нею.

Рисунок 3 — Приклад організовування безпеки IT

9.1.1Рада з безпеки IT

Така рада складається з персоналу необхідного рівня кваліфікації для визначання вимог, розробляння методик, складання програми захисту, аналізування здобутків та видачі вказівок (завдань, рекомендацій) корпоративному контролеру безпеки IT. Для цього може використовуватися уже існуюча рада, або бути створена окрема рада з безпеки IT. Ця рада може засновуватися на наявній структурі:

• повідомлення керівного комітету IT про стратегічні плани безпеки;
• розробляння корпоративної методики безпеки IT в межах підтримки всієї стратегії ITі погоджування її керівним комітетом IT;
• перенесення корпоративних методик безпеки IT в програму безпеки IT;
• контролювання застосування програми захисту в IT;
• контролювання ефективності корпоративних методик безпеки IT;
• підтримування компетентності щодо проблем безпеки IT;
• консультації з питань персоналу, фінансів, інформації, знань, іншого, необхідних дляпідтримування процесів проектування і застосування програми захисту IT.

Для максимальної ефективності роботи в раду повинні входити спеціалісти з базовою підготовкою з захисту і технічних аспектів системи IT, а також представники постачальників послуг і користувачів системи IT. Знання і кваліфікація в усіх цих галузях необхідні для розробляння практичних корпоративних методик безпеки IT.

9.1.2Корпоративний контролер безпеки IT

Оскільки відповідальність за безпеку IT розподілена, то існує ризик, що в результаті ніхто не буде відчувати відповідальності взагалі. Щоб уникнути цього, повинен бути призначений відповідальний за всі питання безпеки IT. Корпоративний контролер безпеки IT повинен діяти як центральна ланка для всіх аспектів безпеки IT в організації. Для цього може бути задіяна вже наявна посада, з додатковими обов'язками, або, що найчастіше доцільно, необхідна окрема посада. Треба надавати перевагу особі, що вже має базовий рівень підготовки з питань захисту IT.

Головні обов'язки корпоративного контролера безпеки IT:

• нагляд за реалізацією програми захисту IT;
• зв'язок і звітування перед органом з безпеки IT;
• підтримка корпоративних методик захисту IT і директив;
• координація розслідувань інцидентів;
• керування ходом проведення програми компетентності безпеки на рівні корпорації;
• визначання компетенції системних контролерів безпеки щодо проекту (і, при наявності,відповідних контролерів безпеки підрозділів IT).

9.1.3Контролер безпеки проекту IT і контролер безпеки системи IT

Індивідуальні проекти або системи повинні мати відповідального за захист, якого називають контролером безпеки IT. У деяких випадках це може бути посада за сумісництвом. Обов'язки керування цими контролерами належать до компетенції корпоративного контролера безпеки IT (або, де можливо, контролера підрозділу безпеки IT). Контролер безпеки в цьому випадку діє як головна ланка всіх аспектів захисту проекту, системи або групи систем. Головні обов'язки цих посадовців:

• зв'язок та підзвітність корпоративному контролеру безпеки (або, де можливо, контролерупідрозділу безпеки IT);
• ініціювання і підтримування проекту або методики захисту системи IT;
• розробляння і реалізування проекту безпеки;
• щоденне контролювання реалізації і використовування захисних засобів IT;
• ініціювання і допомога в запобіганні інцидентам.

9.2 Відповідальність

Відповідальність є необхідною для забезпечення ефективного захисту в IT, якщо керування на різних рівнях забезпечується зусиллями конкретних осіб. Бізнесова відповідальність включає в себе і цілі безпеки IT:

• розуміння глобальних потреб організації;
• розуміння необхідності захисту IT в організації;
• пояснення зобов'язань щодо захисту IT;
• готовність приділяти увагу потребам захисту IT;
• готовність розподіляти ресурси для захисту IT;
• обізнаність на самому високому рівні, що таке засоби захисту IT або їхні складові (межі,обсяг).

Цілі безпеки IT повинні бути оголошені для всієї організації. Кожний службовець чи субпідрядник повинен знати свої функції та обов'язки, їх вплив на захист IT і активно брати участь в досягненні цих цілей.

9.3 Послідовний підхід

Послідовний підхід до захисту IT треба застосовувати до процесів проектування, експлуатування й оновлення. Захист повинен бути невід'ємним складником протягом усього життєвого циклу інформації і системи IT від проектування до знищення.

Організаційна структура, показана на рисунку 3, може підтримувати узгоджений підхід до захисту IT у межах організації. Це, однак, вимагає прив'язки до стандартів, охоплюючи міжнародні, національні, регіональні, промислові і корпоративні стандарти або правила, які вибирають і застосовують згідно з потребами захисту ІТ організації. Технічні стандарти повинні бути доповнені правилами і рекомендаціями щодо їх впровадження, використовування і керування ними.

Переваги використовування стандартів такі:

• інтегрованість захисту;
• здатність до взаємодії;
• послідовність;
• мобільнність;
• економність розмірів (шкали затрат);
• взаємодія між організаціями.

10 ВИБІР СТРАТЕГІЇ КОРПОРАТИВНОГО АНАЛІЗУВАННЯ РИЗИКУ

Організація з метою поліпшення своєї інформаційної безпеки повинна виробити стратегію керування ризиком, яка відповідає її оточенню і містить засоби, що дають змогу ефективно використати характеристики ризиків. Для цього необхідна стратегія, яка концентрує зусилля для розробляння захисту саме там, де це потрібно, для оптимізування вартісних і часових показників.

Жоден ресурс, ефективне використання або звернення до детального аналізу всіх систем не є ефективним без врахування серйозності ризиків. Підхід, який забезпечує рівновагу між цими екстремальними показниками, передбачає аналіз посадовцями високих рівнів для встановлення потреб в захисті системи IT, а потім проведення докладного досліджування з урахуванням цих потреб. Потреби в захисті будь-якої організації будуть залежати від її розміру, виду ділової активності, який вона здійснює, її оточення і мікрополітики. Корпоративна стратегія аналізування ризику, яку планується вибрати, повинна прямо стосуватися цих аспектів.

У деяких ситуаціях організація вирішує питання відносно застосування засобів захисту або призупинення їхньої дії на даному етапі. Таке рішення потрібно приймати тільки після того, як організація ретельно здійснить всі аналізи. Якщо таке рішення прийняте, адміністрація повинна знати всі потенціальні ризики і несприятливі ситуації й імовірність виникнення небажаного інциденту. Без цих відомостей організація може ненавмисно порушити закони або правила і може довести свою ділову активність до потенційного збитку. Рішення і його затвердження про пасивність або відкладання застосування засобів захисту повинні бути прийняті тільки після того, як зроблено докладний розгляд цих та інших можливих несприятливих наслідків.

На основі результатів ретельних аналізів можуть бути вибрані засоби захисту для зменшення ризиків, застосовуючи один із чотирьох варіантів, описаних в 10.1-10.4. В них пояснені переваги і недоліки кожного з варіантів.

10.1 Основний підхід

Перший варіант передбачає вибір багатьох засобів захисту для досягнення базового рівня захисту всіх систем. Ряд стандартних засобів захисту запропоновано в основних документах і практичних рекомендаціях з використовування. Після експертизи основних вимог можна викори-

стати засоби захисту інших організацій, наприклад, міжнародних і державних організацій із стандартизації, промислового сектора або іншої подібної компанії (зі схожою діловою активністю, розмірами, системами IT і застосованнями), заздалегідь їх пристосувавши до своїх потреб. Існує ряд переваг використовування цього підходу:

• не потрібно ніяких витрат для детального аналізування ризику;
• скорочуються час і зусилля на вибір засобів захисту;
• зазвичай не потрібно значних витрат на визначання основних засобів захисту;
• ті самі або подібні основні засоби захисту можуть бути адаптовані до багатьох систем безособливих зусиль. Якщо велика кількість систем організацій діє в спільному середовищі і якщо діловіпотреби співставні, використання основних засобів захисту може дати рентабельне рішення.