В настоящее время не существует стандарта, описывающего процессы ИБ в организации, поэтому каждая организация строит систему обеспечения ИБ, основываясь на своем представлении о целевой картине. Для IT существуют фреймворки, которые описывают процессы (практики), необходимые для построения эффективной системы управления IT. В информационной безопасности существует только стандарт ISO/IEC 27001, который устанавливает требования к тому, что необходимо сделать (или делать) для построения системы управления информационной безопасностью. При этом в данном стандарте не поясняется, какие конкретно процессы следует реализовать и каким образом.
В настоящей статье предлагается фреймворк процессной модели ИБ, при помощи которой можно взглянуть на картину процессов, обеспечивающих ИБ в организациях, целиком. Фреймворк процессной модели представлен в виде карты процессов, составленной на основе наиболее необходимых процессов ИБ организации.
Фреймворк процессной модели ИБ
На основании анализа процессов (подробнее смотри в полной статье, доступной для скачивания ), необходимых для поддержания высокого уровня киберустойчивости, был составлен фреймворк процессной модели, который представлен в виде карты процессов и их описания. На рисунке приведена карта, включающая основные процессы, необходимые для построения системы с высоким уровнем киберустойчивости. Процессы исполняются различными функциональными подразделениями организации — в основном это функции IT и ИБ организации.
Рисунок 1. Карта процессов для построения кибербезопасности в организации
Карта состоит из двух блоков.
Блок оценки, задания направления и мониторинга со стороны руководства организации ИБ отвечает за поддержание процессов ИБ со стороны руководства. Поддержка со стороны руководства организации является обязательным условием внедрения результативной кибербезопасности.
Данный блок состоит из трех процессов:
Управление корпоративными рисками (ОЗН-01);
Обеспечение оптимизации рисков (ОЗН-02);
Определение недопустимых событий (ОЗН-03).
Описание данного блока процессов приведено ниже.
Наименование процесса
Описание процесса
Управление корпоративными рисками (ОЗН-01)
Все организации имеют разные стратегии в области управления рисками: одни готовы идти на риск ради получения выгоды, другие — нет. Все понимают, что это имеет существенное влияние на принимаемые решения, в том числе в области кибербезопасности. В корпоративной системе управления рисками должны быть установлены основные параметры управления корпоративными рисками (риск-аппетит и толерантность к риску)
Обеспечение оптимизации рисков (ОЗН-02)
Для своевременного управления рисками ИБ необходимо установить понятный подход к управлению рисками ИБ, обеспечивая уровень рисков ИБ, не превышающий установленных значений толерантности к риску. Регулярное рассмотрение рисков ИБ должно проходить на уровне руководства организации
Определение недопустимых событий (ОЗН-03)
На уровне руководства риски ИБ рассматриваются как недопустимые события. В рамках данного процесса производится выявление и уточнение недопустимых событий
Второй блок процессов, обеспечивающих корпоративную ИБ, состоит из восьми частей, содержащих группы процессов:
Процессы планирования и организации деятельности (ПОД);
Процессы по работе с персоналом (РП);
Процессы юридической поддержки (ЮП);
Процессы физической безопасности (ФБ);
Процессы в области непрерывности бизнеса (НБ);
Процессы разработки, приобретения и внедрения (РПВ);
Процессы обслуживания, поддержки и восстановления (ОПВ);
Процессы мониторинга оценки и анализа (МОА).
Описание этих групп процессов приведено ниже.
Наименование группы блока процессов
Описание процесса
Процессы планирования и организации деятельности (ПОД)
В этой группе описываются процессы планирования и организации деятельности в области обеспечения ИБ. Сюда включается управление рисками ИБ, управление стратегией ИБ и архитектурой ИБ, управление бюджетом и затратами, построение СУИБ, управление соглашениями об уровне услуг и подрядчиками, а также управление программой bug bounty
Процессы по работе с персоналом (РП)
В данной группе описываются процессы по работе с персоналом организации в части определения обязательств, управления компетенциями, повышения осведомленности, привлечения к дисциплинарной ответственности в случае нарушения требований ИБ
Процессы юридической поддержки (ЮП)
Юридическая поддержка необходима для отслеживания изменений в законодательстве. В эту группу входят процессы юридической поддержки защиты ПДн и КТ, обеспечения юридически значимых обязательств в области ИБ контрагентов, специальная юридическая поддержка, заключающаяся в обеспечении специфичных требований законодательства к тому или иному виду деятельности, а также претензионно-исковая работа в отношении физических и юридических лиц, нарушивших требования ИБ
Процессы физической безопасности (ФБ)
В данной группе находятся процессы обеспечения физической безопасности в границах и за границей контролируемой зоны организации
Процессы в области непрерывности бизнеса (НБ)
В этой группе находятся процессы по разработке планов непрерывности бизнеса в отношении инцидентов ИБ, а также учета требований ИБ при разработке планов непрерывности бизнеса
Процессы разработки, приобретения и внедрения (РПВ)
В данной группе находятся процессы управления проектами, требованиями, изменениями, доступностью и мощностью, выбором и внедрением решений, управления активами и конфигурациями
Процессы обслуживания, поддержки и восстановления (ОПВ)
Эта группа процессов отвечает за операционную деятельность функции ИБ и включает управление эксплуатацией, проблемами, обеспечением непрерывности деятельности, управление услугами, управление контролями бизнес-процессов, управление инцидентами ИБ и расследование инцидентов ИБ
Процессы мониторинга оценки и анализа (МОА)
Данная группа процессов, предназначенная для отслеживания эффективности применяемых мер защиты и процессов, включает верификацию недопустимых событий, внутренний аудит, мониторинг и оценку соответствия внешним требованиям, мониторинг производительности СОИБ, мониторинг, оценку и анализ системы внутреннего контроля, мониторинг, оценку и анализ соответствия внешним требованиями
Ниже по группам приведено описание всех процессов из второго блока.
Процессы планирования и организации деятельности (ПОД)
Наименование процесса
Описание процесса
Управление рисками (ПОД-01)
Руководство устанавливает процесс операционного управления рисками ИБ, который направлен на выявление, оценку и снижение IT-рисков. На уровне руководства ИБ и IT осуществляется операционное управление рисками ИБ
Управление стратегией (ПОД-02)
Процесс создания и внесения изменений в стратегию ИБ организации. Стратегия ИБ задает направление развития ИБ в организации и должна быть согласована с IT-стратегией и общей стратегией организации
Управление архитектурой организации (ПОД-03)
В данном процессе требования ИБ встраиваются в IT-архитектуру предприятия и преобразуются в формальную архитектуру ИБ. Архитектура ИБ отвечает за выработку наиболее безопасных IT-решений, обеспечение исполнения требований безопасности при построении сетей, информационных систем и приложений
Управление бюджетом и затратами (ПОД-04)
Управление бюджетом важный аспект построения СОИБ. Бюджет должен позволять осуществлять запланированные мероприятия и обеспечивать функционирование и планируемое развитие СОИБ
Управление безопасностью (ПОД-05)
Построение системы управления информационной безопасностью. Например, в соответствии со стандартом ISO 27001
Управление соглашениями об услугах (ПОД-06)
Услуги ИБ должны иметь согласованные с заинтересованными сторонами параметры их предоставления. Например, если SOC работает только 8 часов 5 дней в неделю, то это может серьезно повлиять на его возможности реагирования на инциденты ИБ
Управление подрядчиками (ПОД-07)
Модель потребления IT-услуг может быть разной, часть услуг может быть выведена на аутсорсинг; например, можно закупить услуги SOC. В случае вывода услуг ИБ на аутсорсинг необходимо управлять SLA предоставляемых услуг. Для этого необходимо измерять параметры данных услуг и взаимодействовать с их поставщиками
Управление программой bug bounty (ПОД-08)
Управление программой bug bounty является отдельным процессом, так как требует постоянного мониторинга результатов и отслеживания ее эффективности. Например, назначенное вознаграждение может оказаться слишком низким, и желающих участвовать в такой программе не будет. Все выявленные результаты необходимо оценивать для осуществления выплат за найденные уязвимости. Выявленные уязвимости будут являться входами для совершенствования как самих средств защиты, так и процессов обеспечения ИБ
Процессы по работе с персоналом (HR)
Наименование процесса
Описание процесса
Обеспечение требований ИБ при рекрутинге и увольнении (РП-01)
При поиске кандидатов, устройстве на работу и оформлении трудовых отношений необходимо соблюдение формальных требований ИБ. Применение некоторых средств защиты требует оформления согласия на их использование. Без должного оформления и прекращения трудовых отношений с работником сложно привлечь его к ответственности в случае наступления инцидентов ИБ
Управление квалификацией в области ИБ (РП-02)
Квалификацией персонала следует управлять на регулярной основе. Это касается специалистов в области ИБ и IT, которым необходимы актуальные специализированные знания в области управления средствами защиты информации и внутренних процессов организации работы подразделений
Привлечение работника к дисциплинарной ответственности (РП-03)
В случае нарушения требований ИБ работники должны привлекаться к дисциплинарной ответственности в зависимости от степени тяжести проступка. Процесс привлечения к дисциплинарной или иной ответственности может являться результатом расследования инцидента информационной безопасности
Повышение осведомленности в вопросах ИБ (РП-04)
Мероприятия по повышению осведомленности включают не только обучение, но и проведение учений, имитирующих действия злоумышленника (например, рассылка «фишинговых» писем и последующая регистрация перехода работника по ссылкам, содержащимся внутри письма)
Юридическая поддержка
Наименование процесса
Описание процесса
Юридическая поддержка защиты ПДн и КТ (ЮП-01)
Законодательство в области ПДн стремительно развивается во всем мире. Принятие новых законодательных требований в области ПДн нуждается в их мониторинге и оценке влияния на организацию
Юридическая поддержка договорной деятельности (ЮП-02)
Отношения между организациями должны сопровождаться обязательствами по сохранению информации контрагента. Некоторая информация может быть передана другой организации для проведения тех или иных работ. Услуги информационной безопасности также могут закупаться у сторонней организации. Во всех вышеперечисленных вопросах необходимо юридически значимо закрепить ответственность
Специальная юридическая поддержка (ЮП-03)
Специальные виды тайн, а также специальные законы, регулирующие те или иные виды деятельности, также нуждаются в их проработке
Разработка, приобретение и внедрение
Наименование процесса
Описание процесса
Управление программами и проектами (РПВ-01)
Процесс обеспечивает запуск, планирование, контроль и исполнение программ и проектов по информационной безопасности, а также учет требований ИБ в IT-проектах и программах
Управление выявлением требований (РПВ-02)
Процесс обеспечивает учет требований ИБ в бизнес-процессах, приложениях, обработке информации, инфраструктуре и услугах
Управление изменениями (РПВ-03)
Процесс обеспечивает контроль изменений в IT-инфраструктуре, в том числе внесение изменений в средства защиты информации в соответствии с процессом управления изменениями. Рекомендации по контролю изменений размещены
по ссылке
Управление передачей и приемкой изменений (РПВ-04)
Приемка и ввод в эксплуатацию новых решений, конвертация данных, приемочные испытания, ввод в эксплуатацию новых или измененных бизнес-процессов и IT-услуг должны проходить под контролем службы ИБ и с учетом требований ИБ
Управление доступностью и мощностью (РПВ-05)
Данный процесс отвечает за планирование доступности и мощности средств защиты информации, используемых в организации
Управление выбором и внедрением решений (РПВ-06)
Процесс обеспечивает учет требований ИБ при выборе и внедрении решений IT и ИБ в организации
Управление IT-активами (РПВ-07)
Процесс обеспечивает обнаружение, отслеживание и управление программными и аппаратными IT-активами на протяжении всего их жизненного цикла. Как процесс управления IT-активами связан с кибербезопасностью, описано
в статье
Управление конфигурациями (РПВ-08)
Процесс управляет информацией о связях между IT-активами и требованиями ИБ по настройке IT-активов. Используется функцией ИБ для понимания связей межу IT-активами и для предъявления требований к конфигурации IT-активов
Физическая безопасность
Наименование процесса
Описание процесса
Безопасность в контролируемой зоне (ФБ-01)
Должна быть обеспечена физическая безопасность в контролируемой зоне. В зависимости от конфиденциальности обрабатываемой информации должны применяться те или иные методы обеспечения ИБ. Серверные и кроссовые помещения должны быть защищены от несанкционированного доступа
Безопасность в неконтролируемой зоне (ФБ-02)
Обеспечение безопасности информации и оборудования в неконтролируемой зоне осуществляется обычно за счет шифрования информации и ответственных действий работников с выносимым оборудованием
Непрерывность бизнеса
Наименование процесса
Описание процесса
Разработка планов непрерывности на случай инцидентов ИБ (НБ-01)
Некоторые инциденты ИБ могут серьезно повлиять на деятельность организации. Данный процесс обеспечивает формирование планов непрерывности деятельности организации на случай наступления инцидентов ИБ. Стоит помнить, что иногда восстановление невозможно без актуальных резервных копий
Учет требований ИБ при разработке планов непрерывности (НБ-02)
Данный процесс обеспечивает исполнение требований ИБ при разработке планов непрерывности. Общее требование заключается в том, что уровень ИБ не должен быть ниже установленного в организации в течение долгого периода времени
Обслуживание, поддержка и восстановление
Наименование процесса
Описание процесса
Управление эксплуатацией (ОПВ-01)
Процесс отвечает за эксплуатацию средств защиты информации. Как и любое другое оборудование, средства защиты информации нуждаются в техническом обслуживании и устранении инцидентов, связанных с их отказами или некорректной работой
Управление проблемами (ОПВ-02)
Отказы технических средств защиты информации могут повторяться неоднократно; также могут возникать другие проблемы, связанные с их работой (конфликты между собой, невозможность работы с используемым оборудованием и ПО). Такие проблемы необходимо решать в рамках формализованного процесса
Управление доступом (ОПВ-03)
Данный процесс отвечает за управление доступом в организации. Управление доступом является важной составляющей обеспечения ИБ организации. Доступ работников должен быть сведен к необходимому для исполнения своих должностных обязанностей и пересматриваться на регулярной основе. Для этого в организации необходимо разработать механизм назначения и пересмотра доступа к информационным ресурсам, оборудованию, панелям управления облачной инфраструктуры и пр.
Управление непрерывностью деятельности (ОПВ-04)
Данный процесс направлен на создание планов непрерывности деятельности (DRP disaster recovery plan) и планов восстановления. Восстановление и откат к прежнему состоянию может понадобиться и в рамках обычного обновления ПО или прошивки, поэтому разработка планов восстановления всегда производится до внесения изменений, которые могут привести к выходу из строя ИС, СЗИ и пр.
Управление услугами безопасности (ОПВ-05)
Обеспечение ИБ организации следует выстраивать как предоставление некоторого объема ценных для организации услуг. Важно управлять как объемом предоставляемых услуг, так и их параметрами
Управление контролями бизнес-процессов (ОПВ-06)
В бизнес-процессах должны быть предусмотрены контрольные процедуры для обеспечения ИБ
Управление инцидентами ИБ (ОПВ-07)
Обнаружение инцидентов ИБ может быть осуществлено с помощью технических средств или вручную по сигналу от собственного персонала, работников контрагента или по требованию государственного органа
Расследование инцидентов (ИБ ОПВ-08)
Некоторые инциденты ИБ нуждаются в расследовании, а соответственно и привлечении компетентных специалистов и, возможно, компетентных органов для проведения расследования и привлечения к ответственности виновных лиц
Мониторинг, оценка и анализ
Наименование процесса
Описание процесса
Мониторинг, оценка и анализ производительности и соответствия СОИБ (МОА-01)
Данный процесс обеспечивает сбор, проверку и оценку целей и метрик производительности и соответствия СОИБ
Мониторинг, оценка и анализ системы внутреннего контроля (МОА-02)
Процесс обеспечивает мониторинг, оценку и анализ механизмов внутреннего контроля, относящихся к информационной безопасности
Мониторинг, оценка и анализ соответствия внешним требованиям (МОА-03)
Данный процесс обеспечивает проведение мониторинга, оценки и анализа внешних требований по отношению к организации. Такими требованиями могут выступать как требования закона, так и договорные обязательства в области ИБ
Данный процесс обеспечивает проведение внутреннего аудита ИБ
Заключение
Сформированная процессная модель дает общее представление об основных процессах, участвующих в обеспечении ИБ организации, показывает развитие процессов ИБ, а также связь этих процессов между собой. Воспользовавшись моделью, можно получить представление о работе функции ИБ в организации, выстроить взаимодействие с другими функциями (подразделениями) организации. В модели подчеркнута роль руководства организации в оценке, задании направления развития и мониторинге информационной безопасности. Модель может быть доработана под нужды конкретной организации путем добавления дополнительных процессов. Отсутствие же обозначенных в нашем фреймворке процессов может негативно сказаться на эффективности ИБ в организации.
Артемий Пономарёв
Рисунок 1. Карта процессов для построения кибербезопасности в организации