Структура концепции

Вернемся к рассмотрению политики верхнего уровня — концепции. Стандарт ISO 17799:2005 (раздел 5.1.1) описывает примерную структуру этого документа, который должен содержать разделы: определение информационной безопасности, ее цели и масштаб; поддержка информационной безопасности руководством предприятия в соответствии с бизнесом; структура информационной безопасности, описание контрольных механизмов, оценка и управление рисками; принципы и стандарты информационной безопасности, характерные для данного предприятия; роли и ответственность в области информационной безопасности; ссылки на прочие документы по безопасности.

Кроме того, целесообразно включить раздел, описывающий ключевые индикаторы производительности или другие виды метрик оценки эффективности работы в области информационной безопасности. Такие критерии верхнего уровня необходимы, с одной стороны, для руководителей предприятия, чтобы они имели возможность оценивать уже проделанную работу в области информационной безопасности, не углубляясь в технические подробности. С другой стороны, озвученные формализованные критерии позволяют руководителю по безопасности иметь представление о том, как будет оцениваться его работа.

Вот примеры таких высокоуровневых метрик.

Результаты внутренних и независимых проверок работы системы управления информационной безопасностью (СУИБ) в соответствии с установленным жизненным циклом. В отчет обязательно должен быть включен раздел, в котором указана оценка СУИБ в целом, а также по направлениям, перечисленным в методике проведения оценки, и определено состояние: соответствует требованиям, не соответствует, отсутствует или неприменимо.

Количество и детализация идентифицированных информационных рисков, подробное описание соответствующих им угроз и уязвимостей. Результат работ должен иметь прикладное значение, то есть риски должны быть описаны подробно, для удобства их последующего анализа. Кроме того, риски должны быть увязаны с угрозами или уязвимостями (группами уязвимостей). Как минимум должны быть рассмотрены риски, связанные с нарушением конфиденциальности, целостности и доступности.

Точность количественных показателей в оценке рисков. Если при оценке рисков применяется количественный подход, признаком качества процесса является точность определения размера потенциального ущерба и вероятности реализации события. Дополнительным инструментом оценки может быть отслеживание отраслевой (национальной или международной) статистики сходных негативных событий и сравнение с собственными прогнозными расчетами.

Количество принятых советом по информационной безопасности (или аналогичным органом на предприятии) решений по выработке мер противодействия рискам. Соотнеся количество указанных угроз и количество принятых соответствующих им решений, можно оценить качество управления информационной безопасностью.

Полнота и точность планов мероприятий по противодействию рискам. В планах должны быть обозначены наименование мероприятия, отдельные этапы, их описания, сроки выполнения и ответственное лицо.

Соответствие фактически внедренных решений по мерам противодействия утвержденным планам. Несвоевременное внедрение запланированных решений выявляется сравнением утвержденных планов внедрения и протоколов ввода в эксплуатацию соответствующих решений.

Освоение утвержденного бюджета по информационной безопасности. Низкое освоение бюджета свидетельствует об ошибках в планировании мероприятий по безопасности.

Оперативность и адекватность принимаемых мер по совершенствованию СУИБ или отдельных решений в соответствии с новыми появляющимися направлениями бизнеса, технологическими возможностями, условиями работы, атаками и уязвимостями и другими факторами. Поскольку можно с высокой степенью точности установить дату возникновения большинства появляющихся угроз, срок реализации мер противодействия демонстрирует оперативность реакции СУИБ.

Перечислим, на что еще следует обратить внимание в некоторых разделах концепции информационной безопасности.

Поддержка руководством предприятия мероприятий по информационной безопасности. Порой данный раздел не включается в политики вообще, либо состоит из одной — двух общих фраз о том, что безопасность важна и поддерживается руководством. Совершенно очевидно, что этот раздел должен быть более подробным. В нем, например, может содержаться принципиальный ответ на вопрос, возможно ли развитие того или иного направления бизнеса, если его безопасность не может быть обеспечена; отмечено, что никакое решение в области ИТ не может быть принято (никакое совещание не может быть проведено, никакой документ не может быть утвержден) без согласования с подразделением по информационной безопасности.

Определив соответствующие положения в данном разделе, мы можем избежать ряда проблем. Например, известны случаи, когда бизнес-пользователь злоупотребляет предоставленным ему доступом к Internet настолько, что наиболее эффективным вариантом является лишение его этого доступа как минимум до проведения расследования. С другой стороны, статус этого пользователя либо его функции требуют наличия постоянного доступа к Internet. В таком случае без соответствующего ранжирования приоритетов не обойтись, и во избежание злоупотреблений такие приоритеты должны быть закреплены документально.