СУИБ


Системы управления информационной безопасностью
Управление информационной безопасностью — это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.
Обеспечение ИБ – это непрерывный процесс, основное содержание которого составляет управление. ИБ невозможно обеспечить разовым мероприятием, поскольку средства защиты нуждаются в постоянном контроле и обновлении.
Управление информационной безопасностью – это управление людьми, рисками, ресурсами, средствами защиты и т.п. УИБ является неотъемлемым элементом управления предприятием и позволяет коллективно использовать конфиденциальную информацию, обеспечивая при этом ее защиту, а так же защиту вычислительных ресурсов.
Управление информационной безопасностью - это циклический процесс, включающий:
осознание степени необходимости защиты информации;
сбор и анализ данных о состоянии информационной безопасности в организации;
оценку информационных рисков;
планирование мер по обработке рисков;
реализацию и внедрение соответствующих механизмов контроля;
распределение ролей и ответственности;
обучение и мотивацию персонала;
оперативную работу по осуществлению защитных мероприятий;
мониторинг функционирования механизмов контроля,
оценку их эффективности и соответствующие корректирующие воздействия.
Для обеспечения необходимого уровня информационной безопасности (предприятия, учреждения и т.д.) на предприятии создается комплексная система управления информационной безопасностью (СУИБ). Конечной целью создания такой системы является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), преднамеренно наносимого злоумышленниками либо непреднамеренно - нерадивыми работниками предприятия посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
Согласно ISO 27001, система управления информационной безопасностью (СУИБ) — это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.
Создание и эксплуатация СУИБ требует применения такого же подхода, как и любая другая система управления. Используемая в ISO 27001 для описания СУИБ процессная модель предусматривает непрерывный цикл мероприятий: планирование, реализация, проверка, действие (ПРПД).
Процесс непрерывного совершенствования обычно требует первоначального инвестирования: документирование деятельности, формализация подхода к управлению рисками, определение методов анализа и выделение ресурсов. Эти меры используются для приведения цикла в действие. Они не обязательно должны быть завершены, прежде чем будут активизированы стадии пересмотра.
На стадии планирования обеспечивается правильное задание контекста и масштаба СУИБ, оцениваются рисков информационной безопасности, предлагается соответствующий план обработки этих рисков. В свою очередь, на стадии реализации внедряются принятые решения, которые были определены на стадии планирования. На стадиях проверки и действия усиливают, исправляют и совершенствуют решения по безопасности, которые уже были определены и реализованы.
Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы. Основной задачей системы является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) ИС.
Проверки могут проводиться в любое время и с любой периодичностью в зависимости от конкретной ситуации. В некоторых системах они должны быть встроены в автоматизированные процессы с целью обеспечения немедленного выполнения и реагирования. Для других процессов реагирование требуется только в случае инцидентов безопасности, когда в защищаемые информационные ресурсы были внесены изменения или дополнения, а также когда произошли изменения угроз и уязвимостей. Необходимы ежегодные или другой периодичности проверки или аудиты, чтобы гарантировать, что система управления в целом достигает своих целей.
Цели процесса СУИБ
В последние десятилетия почти все виды бизнеса стали более зависимыми от информационных систем. Использование компьютерных сетей также возросло, они не ограничиваются рамками одной организации, они соединяют бизнес-партнеров и обеспечивают связь с внешним миром. Возрастающая сложность ИТ-инфраструктуры означает, что бизнес становится более уязвимым по отношению к техническим сбоям, человеческим ошибкам, злоумышленным действиям, хакерам и взломщикам, компьютерным вирусам и т. д. Эта растущая сложность требует унифицированного управленческого подхода. Процесс Управления Информационной Безопасностью имеет важные связи с другими процессами. Некоторые виды деятельности по обеспечению безопасности осуществляются другими процессами библиотеки ITIL, под контролем Процесса Управления Информационной Безопасностью.
Процесс Управления Информационной Безопасностью имеет две цели:
1. Выполнение требований безопасности, закрепленных в SLA (SLA -Service Level Agreement - Соглашение об уровне услуг) и других требованиях внешних договоров, законодательных актов и установленных правил;
2. обеспечение базового Уровня Безопасности, независимого от внешних требований.
Частными целями информационной безопасности могут являться:
1. обеспечение конфиденциальности, целостности и доступности информационных активов;
2. обеспечение прозрачности процессов информационной безопасности;
3. выполнение требований Internet Corporation for Assigned Names and Numbers (ICANN) (айкен-доменные имена) и Internet Assigned Numbers Authority (IANA)(Ip адреса) в области информационной безопасности;
4. минимизация рисков информационной безопасности при ведении операционной деятельности Общества;
5. обеспечение непрерывности основной деятельности Общества;
6. выполнение нормативно-правовых требований к обеспечению информационной безопасности;
7. повышение деловой репутации и корпоративной культур
Процесс Управления Информационной Безопасностью необходим для поддержки непрерывного функционирования ИТ-организации. Он также способствует упрощению Управления Информационной Безопасностью в рамках Управления Уровнями Сервиса, так как степень сложности Управления SLA зависит также от их количества.
Входными данными для процесса служат соглашения SLA, определяющие требования безопасности, по возможности дополненные документами, определяющими политику компании в этой области, а также другие внешние требования. Процесс также получает важную информацию, относящуюся к проблемам безопасности из других процессов, например об инцидентах, связанных с безопасностью. Выходные данные включают информацию о достигнутой реализации соглашений SLA вместе с отчетами о нештатных ситуациях с точки зрения безопасности и регулярные Планы по безопасности. В настоящее время многие организации имеют дело с информационной безопасностью на стратегическом уровне — в информационной политике и информационном планировании, и на операционном уровне, при закупке инструментария и других продуктов обеспечения безопасности. Недостаточно внимания уделяется реальному Управлению Информационной Безопасностью, непрерывному анализу и преобразованию правил работы в технические решения, поддержанию эффективности мер безопасности при изменении требований и среды. Следствием разрыва между операционным и стратегическим уровнями является то, что на тактическом уровне значительные средства вкладываются в уже неактуальные меры безопасности, в то время как должны быть приняты новые, более эффективные меры. Задачей Процесса Управления Информационной Безопасностью является обеспечение принятия эффективных мер по информационной безопасности на стратегическом, тактическом и операционном уровнях.
Преимущества использования процесса
Информационная безопасность не является самоцелью; она должна служить интересам бизнеса и организации. Некоторые виды информации и информационных услуг являются для организации более важными, чем другие. Информационная безопасность должна соответствовать Уровню Важности Информации. Безопасность планируется путем соблюдения баланса между мерами безопасности, ценностью информации и существующими угрозами в среде обработки. Эффективное информационное обеспечение с адекватной защитой информации важно для организации по двум причинам:
• Внутренние причины: эффективное функционирование организации возможно только при наличии доступа к точной и полной информации. Уровень Информационной Безопасности должен соответствовать этому принципу.
• Внешние причины: в результате выполнения в организации определенных процессов создаются продукты и услуги, которые доступны для рынка или общества, для выполнения определенных задач. Неадекватное информационное обеспечение ведет к производству некачественных продуктов и услуг, которые не могут использоваться для выполнения соответствующих задач и ставят под угрозу существование организации. Адекватная защита информации является важным условием для адекватного информационного обеспечения. Таким образом внешнее значение информационной безопасности определяется отчасти ее внутренним значением.
Безопасность может создавать значительную добавочную стоимость для информационных систем. Эффективная безопасность способствует непрерывности функционирования организации и выполнению ее целей.
Процесс
Организации и их информационные системы меняются. Стандартные щаблоны, такие как Сборник практических рекомендаций по Управлению Информационной Безопасностью (Code of Practice for Information Security Management), статичны и недостаточно соответствуют быстрым изменениям в ИТ. По этой причине деятельность, ведущаяся в рамках Процесса Управления Информационной Безопасностью, должна постоянно пересматриваться в целях обеспечения эффективности Процесса. Управление Информационной Безопасностью сводится к никогда не прекращающемуся циклу планов, действий, проверок и актов. Виды деятельности, проводимые в рамках процесса Управления Информационной Безопасностью или в других процессах под контролем Управления Информационной Безопасностью, описываются ниже.
\s
Рис. Процесс Управления Информационной Безопасностью
Требования заказчика изображены в правом верхнем углу, как входные данные процесса. Эти требования определяются в разделе о безопасности Соглашения об Уровне Сервиса как услуги по безопасности и обеспечиваемый Уровень Безопасности. Поставщик услуг доводит эти соглашения до ИТ-организации в форме Плана по безопасности, определяющего критерии безопасности или операционные Соглашения об Уровне Услуг. Этот план исполняется и результаты оцениваются. Затем план и способы его реализации корректируются, о чем Управление Уровнем Сервиса сообщает заказчику. Таким образом, заказчик и поставщик услуг вместе участвуют в формировании всего цикла процесса. Заказчик может изменить требования на основе получаемых отчетов, а поставщик услуг может скорректировать план или его реализацию на основе результатов наблюдения или поставить задачу изменения договоренностей, определенных в соглашении SLA. Функция контроля представлена в центре рисунка 15.1. Далее эта диаграмма будет использоваться при описании видов деятельности Процесса Управления Информационной Безопасностью.
Модель СУИБ формализуется в едином комплексе нормативных документов. В этот комплекс входят следующие основные документы:
Концепция обеспечения ИБ.
Политика информационной безопасности.
Положение об информационной безопасности компании.
План обеспечения непрерывной работы и восстановления работоспособности информационной системы в кризисных ситуациях.
Правила работы с защищаемой информацией.
Журнал учета нештатных ситуаций.
План защиты информационных систем компании.
Положение о правах доступа к информации. 
Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к информационным ресурсам компании.
Инструкция по внесению изменений в состав и конфигурацию технических и программных средств информационных систем. 
Инструкция по работе сотрудников в сети Интернет.
Инструкция по организации парольной защиты. 
Инструкция по организации антивирусной защиты. 
Инструкция пользователю информационных систем по соблюдению режима информационной безопасности.
Инструкция администратора безопасности сети.
Аналитический отчет о проведенной проверке системы информационной безопасности.
Требования к процессу разработки программного продукта.
Положение о распределении прав доступа пользователей информационных систем. 
Положение по учету, хранению и использованию носителей ключевой информации.
План обеспечения непрерывности ведения бизнеса.
Положение по резервному копированию информации.
Методика проведения полного анализа и управления рисками, связанными с нарушениями информационной безопасности.
Принципы организации и функционирования системы управления
информационной безопасностью
С целью обеспечения эффективности системы управления информационной безопасностью Общество руководствуется следующими фундаментальными принципами:
вовлеченность высшего руководства в процессы управления информационной безопасностью;
Деятельность по обеспечению информационной безопасности осуществляется по инициативе и под контролем высшего руководства Общества. Для проведения регулярного анализа со стороны руководства и принятия решений по совершенствованию системы управления информационной безопасностью в Обществе действует комитет по информационной безопасности, возглавляемый Генеральным директором. Общая координация деятельности по обеспечению информационной безопасности осуществляется менеджером информационной безопасности.
Законность обеспечения информационной безопасности;
Меры обеспечения информационной безопасности выбираются в соответствии с международными стандартами, законодательством Российской Федерации и нормативными документами ФСТЭК России и ФСБ России.
риско-ориентированный подход к управлению информационной безопасностью;
Меры обеспечения информационной безопасности активов выбираются на основании оценки рисков информационной безопасности, которая учитывает вероятность реализации угроз информационной безопасности и величину возможного ущерба от их реализации, а также устанавливает приемлемые уровни риска.
квалификация персонала; Персонал проходит строгий и тщательный отбор, вырабатывается и поддерживается корпоративная этика, что создает благоприятную среду для деятельности и снижает
риски информационной безопасности.
управление инцидентами информационной безопасности; Общество постоянно выявляет, учитывает и оперативно реагирует на действительные, предпринимаемые и вероятные нарушения информационной безопасности, а также принимает меры по предотвращению повторения подобных нарушений. Реагирование на инциденты осуществляется в режиме 24х7.
стремление к постоянному совершенствованию системы управления информационной безопасностью; Общество постоянно повышает эффективность системы управления информационной безопасности, выполняя требования политик, обеспечивая достижение целей информационной безопасности, реализуя корректирующие и предупреждающие действия по результатам независимых внутренних и внешних аудитов, анализа событий и инцидентов информационной безопасности, анализа со стороны высшего руководства.
повышение осведомленности в сфере информационной безопасности; Требования в области информационной безопасности доводятся до сведения персонала и контрагентов в части их касающейся. Персонал проходит регулярное обучение и повышение осведомленности по вопросам информационной безопасности.
дисциплинарная ответственность; Работники Общества несут персональную ответственность за нарушение требований информационной безопасности. Обязанности по обеспечению информационной безопасности включаются в трудовые договоры и должностные инструкции работников, а так же в договоры (соглашения) с контрагентами.
учет действий с информационными активами; Постоянно ведется учет всех действий персонала и контрагентов с информационными активами Общества.
предоставление минимально необходимых прав доступа; Персоналу и контрагентам предоставляются права доступа, минимально необходимые для качественного и своевременного выполнения трудовых обязанностей и договорных обязательств.
Взаимоотношения с другими процессами
Процесс Управления Информационной Безопасностью имеет связи с другими процессами IT1L, так как в других процессах выполняются действия, связанные с обеспечением безопасности. Эта деятельность проводится в обычном порядке в рамках ответственности определенного процесса и его руководителя. При этом Процесс Управления Информационной Безопасностью обеспечивает другие процессы инструкциями о структуре деятельности, связанной с безопасностью. Обычно соглашения об этом определяются после консультаций между Руководителем Процесса Управления Информационной Безопасностью и Руководителями других процессов.

Отношения между Процессом Управления Информационной Безопасностью и другими процессами
Управление Конфигурациями
В контексте информационной безопасности процесс Управления Конфигурациями имеет наибольшее значение, так как он позволяет классифицировать Конфигурационные Единицы (CI). Эта классификация определяет связи между Конфигурационными Единицами и предпринимаемыми мерами или процедурами безопасности.
Классификация Конфигурационных Единиц определяет их конфиденциальность, целостность и доступность. Эта классификация основана на требованиях безопасности соглашений SLA. Заказчик ИТ-организации определяет классификацию, так как только заказчик может решить, насколько важны информация или информационные системы для бизнес-процессов. При создании классификации Конфигурационных Единиц заказчик учитывает степень зависимости бизнес-процессов от информационных систем и информации. Затем ИТ-организация увязывает классификацию с соответствующими Конфигурационными Единицами. ИТ-организация должна также реализовать комплекс мер безопасности для каждого Уровня Классификации. Эти комплексы мер могут быть описаны как процедуры, например «Процедура обращения с носителями данных с личной информацией». В соглашении SLA могут определяться комплексы мер безопасности для каждого Уровня Классификации. Система классификации должна всегда быть совместима со структурой организации заказчика. Однако для упрощения управления рекомендуется использовать одну общую систему классификации, даже если ИТ-организация имеет несколько заказчиков.
Из вышесказанного можно сделать вывод, что классификация является ключевым моментом. Каждая Конфигурационная Единица в Конфигурационной Базе Данных (CMDB) должна быть классифицирована. Эта классификация связывает Конфигурационную Единицу с соответствующим комплексом мер безопасности или процедурой.
Управление Инцидентами
Управление Инцидентами является важным процессом, информирующим о наличии инцидентов, связанных с безопасностью. По своей природе связанные с безопасностью инциденты могут быть обработаны с помощью иной процедуры, чем другие инциденты. Поэтому важно, чтобы Процесс Управления Инцидентами распознавал инциденты по безопасности как таковые. Любой инцидент, который может помешать выполнению требований безопасности SLA, классифицируется как инцидент по безопасности. Было бы полезным включить в соглашения SLA определение типов инцидентов, рассматривающихся как инциденты по безопасности. Любой инцидент, препятствующий достижению базового внутреннего Уровня Безопасности, также всегда классифицируется как инцидент по безопасности.
Сообщения об инцидентах поступают не только от пользователей, но также от различных Процессов Управления, возможно, на основе аварийных сигналов или данных системного аудита. Крайне необходимо, чтобы Процесс Управления Инцидентами распознавал все инциденты по безопасности. Это требуется для инициирования соответствующих процедур для обработки таких инцидентов. Рекомендуется включить в планы процедуры для различных типов инцидентов по безопасности и опробовать их на практике. Также рекомендуется согласовывать процедуру оповещения об инцидентах, связанных с безопасностью. Нередко паника возникает из-за чрезмерно раздутых слухов. Точно так же нередко отсутствие своевременного оповещения об инцидентах по безопасности приводит к возникновению ущерба. Желательно, чтобы все внешние сообщения, относящиеся к инцидентам по безопасности, проходили через руководителя Процесса Управления Информационной Безопасностью.
Управление Проблемами
Процесс Управления Проблемами отвечает за идентификацию и устранение структурных сбоев по безопасности. Проблема может также привести к возникновению риска для системы безопасности. В этом случае Управление Проблемами должно привлечь на помощь Процесс Управления Информационной Безопасностью. Для того чтобы не возникло новых проблем с безопасностью, принятое окончательное или обходное решение должно быть проверено. Эта проверка должна основываться на соответствии предлагаемых решений требованиям соглашений SLA и внутренним требованиям безопасности.
Управление Изменениями
Виды работ, выполняемых в рамках Процесса Управления Изменениями, часто бывают тесно связаны с безопасностью, так как Управление Изменениями и Управление Информационной Безопасностью взаимозависимы. Если достигнут приемлемый Уровень Безопасности, который находится под контролем Процесса Управления Изменениями, то можно гарантировать, что этот Уровень Безопасности будет обеспечиваться и после проведения изменений. Для поддержки этого Уровня Безопасности существует ряд стандартных операций. Каждый Запрос на изменения (RFC) связан с рядом параметров, которые определяют процедуру приемки. Параметры срочности и степени воздействия могут быть дополнены параметром, связанным с безопасностью. Если Запрос на изменения (RFC) может оказать значительное воздействие на информационную безопасность, потребуются расширенные приемочные испытания и процедуры.
В Запрос на изменения (RFC) также должны быть включены предложения по решению вопросов безопасности. Они опять же должны основываться на требованиях SLA и базовом Уровне Внутренней Безопасности, необходимом для ИТ-организации. Следовательно, эти предложения будут включать комплекс мер по обеспечению безопасности, основанный на Практических нормах по Управлению Информационной Безопасностью.
Желательно, чтобы руководитель Процесса Управления Информационной Безопасностью (а также, возможно, инспектор по безопасности от заказчика) был членом Консультативного комитета по изменениям (Change Advisory Board — CAB).
Однако это не значит, что по всем изменениям необходимо консультироваться с Руководителем Процесса Управления Информационной Безопасностью. В нормальной ситуации безопасность должна быть интегрирована в обычный рабочий режим. Руководитель Процесса Управления Изменениями должен иметь возможность решать, требуется ли ему или комитету CAB входная информация от Руководителя Процесса Управления Информационной Безопасностью. Точно так же руководитель Процесса Управления Информационной Безопасностью не обязательно должен участвовать в выборе мер для конкретных Конфигурационных Единиц затронутых Запросом на Изменения (RFC), так как для соответствующих мер уже должен существовать структурированный подход. Вопросы могут возникнуть только со способом реализации указанных мер.
Любые меры безопасности, связанные со внесением изменений, должны реализовываться одновременно с проведением самих изменений, и они должны тестироваться совместно. Тесты безопасности отличаются от обычных функциональных тестов. Задачей обычных тестов является определение доступности определенных функций. При тестировании безопасности проверяют не только доступность функций безопасности, но также отсутствие других, нежелательных функций, которые могут снизить безопасность системы.
С точки зрения безопасности Управление Изменениями является одним из наиболее важных процессов. Это объясняется тем, что Управление Изменениями вводит новые меры безопасности в ИТ-инфраструктуру вместе с изменениями этой инфраструктуры.
Управление Релизами
Процесс Управления Релизами осуществляет контроль и развертывание всех новых версий программного и аппаратного обеспечения, оборудования для передачи данных и т. д. Этот процесс гарантирует, что:
• используется соответствующее аппаратное и программное обеспечение;
• аппаратное и программное обеспечение тестируются перед использованием;
• внедрение надлежащим образом санкционировано с помощью процедуры изменения;
• программное обеспечение является легальным;
• программное обеспечение не содержит вирусов, и вирусы не появятся при его распространении;
• номера версий известны и зарегистрированы в Базе Данных CMDB (CMDB-Configuration Management Database-Конфигурационная база данных) Процессом Управления Конфигурациями;
• управление развертыванием будет эффективным.
В этом процессе также используется обычная процедура приемки, которая должна охватывать аспекты информационной безопасности. Рассмотрение аспектов безопасности во время тестирования и приемки является особенно важным. Это означает, что требования и меры по безопасности, определенные в SLA, должны соблюдаться постоянно.
Управление Уровнем Сервиса
Процесс Управления Уровнем Сервиса гарантирует, что договоренности об услугах, предоставляемых заказчикам, определены и выполняются. В Соглашениях об Уровне Сервиса должны учитываться также меры безопасности. Целью этого является оптимизация Уровня Предоставляемых Услуг. Управление Уровнем Сервиса включает ряд видов деятельности, связанных с безопасностью, в которых важную роль играет Управление Информационной Безопасностью:
1. Определение потребностей заказчика в области безопасности. Естественно, определение необходимости в безопасности является ответственностью заказчика, так как эти потребности основаны на его интересах.
2. Проверка осуществимости требований заказчика по безопасности.
3. Предложение, обсуждение и определение Уровня Безопасности ИТ-услуг в SLA.
4. Определение, разработка и формулирование внутренних требований безопасности для ИТ-услуг (Операционные Соглашения об Уровне Услуг — OLA).
5. Мониторинг стандартов безопасности (OLA).
6. Составление отчетов о предоставляемых услугах.
Управление Информационной Безопасностью предоставляет Управлению Уровнем Сервиса входную информацию и поддержку для осуществления видов деятельности с 1 по 3. Виды деятельности 4 и 5 проводятся Управлением Информационной Безопасностью. Для деятельности 6 Управление Информационной Безопасностью и другие процессы предоставляют необходимую входную информацию. Руководители Процессов Управления Уровнем Сервиса и Управления Информационной Безопасностью после взаимных консультаций решают, кто реально занимается проведением этих операций. При составлении соглашений SLA обычно предполагается, что существует общий базовый Уровень Безопасности (baseline). Дополнительные требования заказчика по безопасности должны четко определяться в SLA.
Управление Доступностью
Процесс Управления Доступностью рассматривает техническую доступность ИТ-компонентов, связанную с доступностью услуги. Качество доступности определяется непрерывностью, ремонтопригодностью и устойчивостью. Так как многие меры безопасности оказывают положительное воздействие и на доступность, и на аспекты безопасности — конфиденциальность и целостность, существенно важной является координация мер между Процессами Управления Доступностью, Управления Непрерывностью ИТ-услуг и Управления Информационной Безопасностью.
Управление Мощностями
Процесс Управления Мощностями отвечает за наилучшее использование ИТ-ресурсов в соответствии с договоренностью с заказчиком. Требования по производительности основаны на количественных и качественных стандартах, определенных Управлением Уровнем Услуг. Почти все виды деятельности Процесса Управления Мощностями воздействуют на доступность и, следовательно, также на Процесс Управления Информационной Безопасностью.
Управление Непрерывностью ИТ-услуг
Процесс Управления Непрерывностью ИТ-услуг гарантирует, что воздействие любых непредвиденных обстоятельств будет ограничиваться уровнем, согласованным с заказчиком. Чрезвычайные обстоятельства не обязательно должны превращаться в катастрофы. Основными видами деятельности являются определение, поддержка, внедрение и тестирование плана обеспечения непрерывной работы и восстановления функционирования, а также принятие превентивных мер. Из-за присутствия в этих видах работ аспектов безопасности возникает связь с Процессом Управления Информационной Безопасностью. С другой стороны, невозможность выполнения базовых требований безопасности может сама рассматриваться как чрезвычайное обстоятельство.
Процесс управления информационными ресурсами и носителями КИ (инвентаризация, классификация, хранение, уничтожение)
Информационный ресурс (ИР) – структурированная совокупность информационных единиц (или одиночная информационная единица), участвующая в реализации бизнес-процессов и неделимая с их точки зрения. Содержит информацию (сведения, либо совокупность взаимосвязанных между собой сведений), являющуюся предметом собственности.
Информационный ресурс может представлять собой сложный объект. Он может состоять из одной или нескольких информационных единиц – неделимых объектов с точки зрения управления доступом (файлов, форм прикладной информационной системы, полей данных форм). Информационные единицы, входящие в состав информационного ресурса систематизированы по тематике работы или своему функциональному предназначению.
Формирование и поддержку каждого информационного ресурса осуществляет ответственное должностное лицо – владелец информационного ресурса. Каждый информационный ресурс должен иметь одного единственного владельца.
Таким образом, информационный ресурс обладает следующими свойствами:
Участвует в реализации конкретного бизнес-процесса ИУС организации.
Имеет единственного владельца
Имеет самостоятельное значение, как для своего владельца, так и для использующего ресурс бизнес-процесса
Логически неделим с точки зрения использующего его бизнес-процесса
Характеризуется известным месторасположением
Информационные единицы в составе информационного ресурса систематизированы по тематике работы или своему функциональному предназначению.
Форма представления, виды и типы информационных ресурсов.
Форма представления информационных ресурсов может быть различной. Выделяются файловые информационные ресурсы (отдельные файлы, каталоги с подкаталогами или без) и рабочие формы прикладной системы (отдельная рабочая форма или их совокупность) (рис. 1).
7972102455189Рисунок 1 Форма представления информационных ресурсов
00Рисунок 1 Форма представления информационных ресурсов

Исходя из специфики своего использования, выделяются следующие виды информационных ресурсов (рис. 2):
файловые ресурсы (файлы, не являющиеся электронной почтой либо резервными копиями);
информация, хранимая в базах данных;
электронная почта;
печатные копии;
резервные копии
Информация, хранимая в базах данных, как правило, доступна с помощью прикладных программ, и представлена в виде форм прикладной системы. Обычно форма используется либо для представления информации, содержащейся в базе данных, либо для ввода информации в базу данных.

Рисунок 2 Виды информационных ресурсов
При категорировании информационных ресурсов по степени их конфиденциальности, выделяют следующие их типы (рис. 3):
Коммерческая тайна – информация, включенная в перечень ресурсов организации, составляющих коммерческую тайну в соответствии с Законом «О Коммерческой тайне».
Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.
Прочие ресурсы – все остальные информационные ресурсы.

Рисунок 3 Типы информационных ресурсов
Рекомендации по именованию информационных ресурсов
Каждый из информационных ресурсов должен быть именован.
Имя информационного ресурса должно четко отражать его функциональное предназначение, по которому проводилась систематизация информационных единиц, либо иметь утвержденное для организации название, привычное для владельца и пользователей информационного ресурса.
В качестве наименования информационного ресурса, участвующего в формализованном описании бизнес-процесса, следует брать его имя, под которым он фигурирует в этом формализованном описании. При необходимости, в наименовании информационного ресурса указывается также использующая его бизнес-функция (для характеристики функционального предназначения информационного ресурса).
Наименование информационного ресурса вносится в перечень информационных ресурсов ИУС организации.
Под классификацией информационных ресурсов понимается установка в соответствие каждому из информационных ресурсов категорий конфиденциальности, целостности и доступности, адекватных ущербу, наносимому в результате нарушения соответствующих свойств.
Категория информационного ресурса – это мера важности информационного ресурса, отражающая возможный ущерб, наносимый в результате нарушения его конфиденциальности, целостности или доступности.
Классификация информационных ресурсов является основой создания нормативно-методической базы для дифференцированного подхода к их защите (установки адекватного уровня защиты ресурса в соответствии с возможным ущербом). В рамках процесса классификации формируются категории всех информационных ресурсов, и поддерживается их актуальность.
Необходимо отметить, что чем более высокая категория назначена информационному ресурсу, тем больше сил и средств будет потрачено организацией на их поддержание, тем больше ограничений будет налагаться на использование данных информационных ресурсов.
Процесс классификации информационных ресурсов является одним из основных процессов при внедрении политики информационной безопасности организации. Он напрямую связан с рядом других процессов управления ИБ: управлением доступом к информационным ресурсам, управлением носителями информации, управлением непрерывностью ИТ-сервисов.
Внедрение процесса классификации требует наличия формализованных описаний бизнес-процессов в организации, либо утвержденных документов (Инструкций, Положений, Регламентов и т.д.), четко регламентирующих порядок решения пользователями информационно-управляющей системы (ИУС) функциональных задач, требующих доступа к информационным ресурсам.
Этапы процесса классификации
Жизненный цикл процесса классификации информационных ресурсов включает в себя несколько основных видов деятельности (рис. 4).

Рисунок 4. Жизненный цикл процесса классификации
На этапе инициализации работ создается Группа инвентаризации и категорирования, подготавливается календарный план, осуществляется его согласование с руководством.
На этапе инвентаризации, формируется перечень информационных ресурсов ИУС, отраженных в формализованных и неформализованных бизнес-процессах, не относящихся к служебной и государственной тайне.
На этапе категорирования информационных ресурсов устанавливаются категории, соответствующие их важности.
Жизненный цикл процесса классификации является непрерывным. Следует постоянно поддерживать актуальность перечня защищаемых информационных ресурсов путем выявления новых информационных ресурсов, а также периодического пересмотра перечня инвентаризированных информационных ресурсов, существующих категорий на предмет их актуальности.
Ресурсы, необходимые для успешного внедрения и поддержки процесса классификации
Для успешного внедрения и поддержки процесса классификации, организация должна выделить следующие ресурсы (рис 5):
Сотрудники – участники Группы инвентаризации и категорирования (5-6 человек), а также приглашенные эксперты, являющиеся сотрудниками ОИТ, СБ, владельцы информационных ресурсов и бизнес-процессов, их подчиненные. Численность экспертной группы составляет 8-10 человек. Требуется выделить время и согласовать временные сроки, в рамках которых будут выделяться сотрудники. При оценке временных сроков следует исходить из расчета 16 человеко-часов на классификацию 10 информационных ресурсов.
Помещения – для проведения совещания в рамках работ по инвентаризации и категорированию.
Вычислительная техника – для автоматизации деятельности по инвентаризации и категорированию информационных ресурсов.
Расходные материалы – для осуществления бумажного документооборота в рамках деятельности по инвентаризации и категорированию информационных ресурсов.

Рисунок 5 Ресурсы, необходимые для успешного внедрения и поддержки процесса классификации
Документы, регламентирующие процесс классификации.
Деятельность по классификации информационных ресурсов подчинена следующим документам (рис. 6):
«Положение об инвентаризации и категорировании информационных ресурсов» - основной документ, которому подчиняется процесс классификации. В данном документе дается общая информация о процессе классификации, его структуре, жизненном цикле, а также о работах, проводимых на каждой из стадии его жизненного цикла. Дается представление об информационных ресурсах, их структуре, типах, видах, категориях и форме представления.
«Положение о Группе инвентаризации и категорирования информационных ресурсов» определяет порядок создания и работы группы, ее структуру, цели, задачи, функции. Определяет права, обязанности и ответственность участников группы, взаимодействие группы с подразделениями организации и группами поддержки других процессов.
«Регламент инвентаризации и категорирования информационных ресурсов» определяет общий порядок выполнения действий по инвентаризации и категорированию информационных ресурсов, по поддержке актуальности перечня защищаемых информационных ресурсов и установленных категорий
«Инструкция по инвентаризации и категорированию информационных ресурсов» определяет детальные шаги, выполняемые участниками процесса при инвентаризации и категорировании информационных ресурсов, поддержке актуальности перечня защищаемых информационных ресурсов и установленных категорий.

Рисунок 6 Документы, определяющие процесс классификации
Участники процесса классификации.
Процесс классификации реализуется Группой инвентаризации и категорирования (ГИК), постоянно действующей в организации. Ее состав включает в себя 5-6 человек. Состав Группы Инвентаризации и Категорирования формируется руководителем данной группы и утверждается руководством организации.
Руководитель ГИК
Руководитель Группы инвентаризации и категорирования подчиняется руководству организации.
Функции, выполняемые руководителем ГИК, включают в себя следующие:
Руководитель ГИК осуществляет общее руководство и контроль деятельности Группы Инвентаризации и Категорирования, организует и планирует работы по инвентаризации и категорированию информационных ресурсов, обеспечивает их непрерывность. Он обеспечивает своевременность и качество выполнения задач, возложенных на Группу Инвентаризации и Категорирования.
Руководитель ГИК создает необходимые условия для продуктивного труда в процессе инвентаризации и категорирования, способствует повышению профессионального уровня членов группы. Консультирует участников Группы Инвентаризации и Категорирования по всем возникающим у них вопросам, относящихся к деятельности группы.
Руководитель ГИК участвует в оценке эффективности процесса классификации информационных ресурсов, формирует отчеты для руководства о ходе выполнения работ по инвентаризации и категорированию информационных ресурсов, контролирует выполнение работ по улучшению процесса классификации информационных ресурсов.
Руководитель ГИК координирует деятельность Группы Инвентаризации и Категорирования со структурными подразделениями организации.
Для эффективного выполнения своих функций, руководитель ГИК вправе:
Выходить от лица Группы Инвентаризации и Категорирования на руководство организации при возникновении конфликтных ситуаций.
Привлекать необходимых экспертов к работам по инвентаризации и категорированию информационных ресурсов.
Принимать решение о «заочном» участии владельца информационного ресурса в процессе категорирования.
Руководитель ГИК является ответственным за своевременность и качество решения задач, возложенных на Группу Инвентаризации и Категорирования; обеспечение непрерывности процесса классификации информационных ресурсов; назначение окончательных категорий конфиденциальности, целостности и доступности инвентаризированным информационным ресурсам; поддержку в актуальном состоянии перечня информационных ресурсов.
Более подробно права, обязанности и ответственность Руководителя ГИК представлены в «Положении об инвентаризации и категорировании информационных ресурсов»
Члены группы инвентаризации и категорирования
Членами ГИК являются сотрудники ОИТ и СБ. Количество членов ГИК должно составлять 4-5 человек. Члены Группы Инвентаризации и Категорирования подчиняются ее руководителю и на постоянной основе участвуют в деятельности группы.
Функции, выполняемые членами ГИК, включают в себя следующие:
Члены ГИК помогают руководителю Группы Инвентаризации и Категорирования в организации деятельности группы, консультируют приглашенных экспертов по всем возникающих у них вопросам, касающихся деятельности группы, в частности по порядку заполнения опросных листов.
Члены ГИК непосредственно взаимодействуют с экспертами, организуют совещания, проводят интервьюирование и анкетирование экспертов по вопросам, связанным с инвентаризацией и категорированием информационных ресурсов.
Совместно со специалистами ОИТ, владельцами бизнес-процессов (БП), члены ГИК выполняют инвентаризацию информационных ресурсов. При участии внешних экспертов (владельцев информационных ресурсов и сотрудников подразделений) – выполняют категорирование и пересмотр категорий инвентаризированных информационных ресурсов.
Для эффективного выполнения своих функций, члены ГИК вправе:
1. Требовать от руководителя Группы Инвентаризации и Категорирования предоставления доступа к необходимым документам (формализованным описаниям бизнес-процессов; положениям, регламентам, инструкциям, содержащим сведения об информационных ресурсах и т.д.).
2. Требовать от руководителя Группы Инвентаризации и Категорирования создания необходимых условий для продуктивного труда.
Члены ГИК являются ответственными за полноту сформированного перечня информационных ресурсов ИУС организации; правильность определения типа, вида и формы представления информационного ресурса; качество сформированных оценок категорий информационных ресурсов в составе экспертной группы.
Внешние эксперты
В ходе своей деятельности по инвентаризации и категорированию, ГИК создает экспертные группы, привлекая в них владельцев бизнес-процессов, специалистов ОИТ, руководителей отделов (для решения задачи инвентаризации информационных ресурсов); владельцев информационных ресурсов, сотрудников подразделений (для решения задачи категорирования инвентаризированных информационных ресурсов). Для категорирования по степени конфиденциальности информационных ресурсов, относящихся к коммерческой тайне, могут привлекаться лица из числа руководства организации. Члены экспертных групп подчиняются непосредственно руководителю Группы Инвентаризации и Категорирования.
Эксперты должны иметь адекватное представление о технологии автоматизированной обработки информации в организации, о бизнес-процессах, использующих информационные ресурсы, о типах и видах, местах размещения информационных ресурсов.
Функции, выполняемые экспертами, включают в себя следующие:
Владельцы бизнес-процессов, специалисты ОИТ, привлекаемые к инвентаризации информационных ресурсов, участвуют совместно с членами ГИК в анализе формализованных описаний бизнес-процессов на предмет выделения используемых ими информационных ресурсов.
Специалисты ОИТ, руководители подразделений (отделов) участвуют в деятельности по выделению информационных ресурсов, не включенных в формализованные описания БП, но используемые сотрудниками организации для решения функциональных задач, четко регламентированных и утвержденных в различных документах (Инструкциях, Положениях, Регламентах и т.д.).
Владельцы информационных ресурсов, специалисты ОИТ, интервьюируются членами ГИК на предмет определения типа, вида информационных ресурсов, формы их представления и места размещения.
Владельцы информационных ресурсов, сотрудники подразделений, а также при необходимости лица из числа высшего руководства организации, участвуют в категорировании инвентаризированных информационных ресурсов (отвечая на опросные листы).
Для эффективного выполнения своих функций, эксперты вправе:
Требовать от руководителя Группы Инвентаризации и Категорирования создания необходимых условий для продуктивного труда.
На период участия в деятельности ГИК освобождаться от выполнения своих прямых обязанностей.
Эксперты являются ответственными за достоверность предоставляемой информации на этапе интервьюирования, за качество сформированных ими оценок категорий информационных ресурсов.
Инвентаризация информационных ресурсов
Основные задачи, решаемые при инвентаризации информационных ресурсов – их выделение и сбор следующих основных сведений о них:
наименование;
тип;
вид;
форма представления;
размещение;
владелец ИР
бизнес-процесс, использующий информационный ресурс.
Эти задачи реализуются путем анализа формализованных описаний бизнес-процессов, анализа утвержденных документов, регламентирующих выполнение функциональных задач пользователями ИУС, обследования подразделений организации.
Инвентаризацию проводит Группа Инвентаризации и Категорирования совместно со специалистами ОИТ, владельцами БП, руководителями отделов.
Инвентаризации подлежат информационные ресурсы, собственником которых является организация, не относящиеся к государственной тайне, и не наделенные категорией «ДСП» в установленном Российским законодательством порядке.
Диаграмма деятельности по инвентаризации информационных ресурсов представлена на рисунке 7.
На этапе инициализации работ (шаг 1) формируется Группа Инвентаризации и Категорирования, подготавливается и согласуется календарный план по инвентаризации.
В календарный план по инвентаризации включаются ориентировочные сроки проведения работ в различных структурных подразделениях организации, а также ориентировочное количество сотрудников подразделений (отделов), привлекаемых к процессу инвентаризации. Календарный план согласуется с руководителями подразделений (отделов), утверждается руководством организации.
На шаге 2 членами ГИК совместно со специалистами ОИТ, а также владельцами БП, выполняется анализ формализованных описаний бизнес-процессов, реализуемых в ИУС, с целью выделения используемых в них информационных ресурсов и определения их владельцев. Необходимо выделить все информационные ресурсы, поступающие вход и формируемые на выходе их бизнес-функций. Путем интервьюирования владельцев бизнес-процессов, определяется владелец каждого из выделенных информационных ресурсов. Владелец информационного ресурса – должностное лицо, осуществляющее формирование и поддержку информационного ресурса. Владелец информационного ресурса дает ему имя исходя из рекомендаций по наименованию информационных ресурсов.
На шаге 3 членами ГИК выполняется интервьюирование руководителей отделов и специалистов ОИТ на предмет выделения информационных ресурсов, используемых при выполнении не формализованных бизнес-процессов. Необходимо выделить информационные ресурсы, не включенные в формализованные описания БП, но используемые пользователями для решения функциональных задач, четко регламентированных и утвержденных в различных документах организации (Инструкциях, Положениях, Регламентах и т.д.). Данные информационные ресурсы должны удовлетворять всеми шестью свойствами, представленными на стр. 2.
Член Группы Инвентаризации и Категорирования, являющийся сотрудником СБ, должен убедиться, что выделенные информационные ресурсы не относятся к государственной тайне и не наделены грифом «ДСП» в установленном Российским законодательством порядке. Такие информационные ресурсы должны быть исключены из выделенного списка и в дальнейшем не рассматриваются.
Члены ГИК дают имена информационным ресурсам исходя из рекомендаций по их наименованию.
На шаге 4 членами ГИК выполняется сбор информации о выделенных информационных ресурсах путем интервьюирования экспертов (владельцев информационных ресурсов, сотрудников ОИТ, руководителей подразделений). По результатам интервьюирования для каждого из информационных ресурсов заполняется опросный лист (Рисунок 7).
В данном перечне в поле «Владелец информационного ресурса» указывается ФИО и должность владельца.
В поле вид ресурса устанавливается один из видов («Файловый ресурс», «Информация, хранимая в БД», «Электронная почта», «Резервные копии», «Печатные копии»). При заполнении данного поля интервьюируются специалисты ОИТ. Тип «Файловый информационный ресурс» устанавливается только для файловых ресурсов, не отнесенных к другим видам.
При заполнении поля «Тип ресурса» интервьюируются специалисты СБ, являющиеся членами ГИК. При этом следует руководствоваться следующими рекомендациями:
- Если информационный ресурс представлен в перечне ресурсов организации, отнесенных к коммерческой тайне, то тип данного ресурса устанавливается как «Коммерческая тайна»
Если информационный ресурс попадает под определение персональных данных соответствии с Федеральным Законом №152-ФЗ от 27.07.2006, то тип данного ресурса устанавливается как «Персональные данные»
Если информационный ресурс не попадает под данные категории, для него устанавливается тип «Прочие ресурсы»
В поле «Форма представления» указывается одна из возможных форм информационного ресурса: «Файловый» или «Форма прикладной системы» При заполнении данного поля интервьюируются специалисты ОИТ. Для информационных ресурсов, представляющих собой «Форма прикладной системы», устанавливается вид «Информация, хранимая в БД».
Опросный лист для членов экспертной группы
(заполняется Группой Инвентаризации и Категорирования путем интервьюирования членов экспертной группы)
Наименование информационного ресурса ______________________________________
____________________________________________________________________________
____________________________________________________________________________
Владелец информационного ресурса (ФИО, должность) Вид ресурса Файловый ресурс
Информация, хранимая в БД
Электронная почта
Резервные копии
Печатные копии Тип ресурса Коммерческая тайна
Персональные данные
Прочие ресурсы
Форма представления Файловый
Форма прикладной системы
Размещение информационного ресурса _____________________________________________________
_____________________________________________________
_____________________________________________________
Бизнес-процессы, в которых участвует информационный ресурс (либо краткая характеристика функциональ-ных задач) _________________________________________
_________________________________________
Рисунок 7. Опросный лист, заполняемый при сборе информации об информационном ресурсе
Вид «Файловый информационный ресурс» устанавливается для файловых ресурсов, не отнесенных к другим видам.
В поле «Размещение информационного ресурса» указывается его носитель. Если носитель является сетевым узлом, в данном поле необходимо указать сетевое имя, сетевой адрес узла, а также сетевой диск (при наличии такового). По возможности, следует указать путь к месту хранения информационного ресурса (например, путь к БД). При заполнении данного поля члены ГИК интервьюируют специалистов ОИТ, а также владельца информационного ресурса.
В поле «Бизнес-процессы, в которых участвует информационный ресурс» членами ГИК указываются наименования формализованных БП, использующих информационный ресурс, либо дается краткая характеристика функциональных задач, требующих использования ресурса, четко регламентированных и утвержденных в различных документах организации (Инструкциях, Положениях, Регламентах и т.д.). В последнем случае в поле дается также ссылка на наименования документов.
По результатам интервьюирования, членами ГИК формируется перечень инвентаризированных информационных ресурсов (таблица 1).
Таблица SEQ Таблица \* ARABIC 1 Перечень инвентаризированных информационных ресурсов
№ п/п Наименование инфор-
мационного ресурса Тип Вид Форма представления Владелец Размещение Бизнес-процессы, которым принадлежит ИР (краткая характеристика функциональных задач)
Руководитель ГИК лично согласует перечень инвентаризированных информационных ресурсов, далее согласует его с владельцами информационных ресурсов и утверждает у руководства организации.
Категорирование информационных ресурсов
После инвентаризации информационных ресурсов осуществляется их категорирование. Процесс категорирования подразумевает выделение категорий информационных ресурсов и назначение их инвентаризированным ресурсам. Категорирование осуществляется в соответствии с возможным ущербом организации, наносимым в результате нарушения конфиденциальности, целостности или доступности информационных ресурсов.
Защищаемые свойства информации
Для каждого из инвентаризированных информационных ресурсов выделяют три защищаемых свойства: конфиденциальность, целостность, доступность.
Конфиденциальность информации – свойство информации, обеспечиваемое способностью системы сохранять ее в тайне от субъектов, не имеющих полномочий на доступ к ней. Указывает на необходимость введения ограничений на круг лиц, имеющих доступ к данной информации.
Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному состоянию).
Доступность информации – свойство информации, характеризующее ее способностью быть своевременно предоставленной заинтересованным субъектам, при наличии у последних соответствующих полномочий.
Категории информационных ресурсов представлены в таблице 2.
Таблица 2 Категории информационных ресурсов
Категории конфиденциальности Категории целостности Категории доступности
Открытые данные Нет требований Нет требований
Для внутреннего пользования Минимальная Минимальная
Конфиденциально Средняя Средняя
Строго конфиденциально Высокая Высокая
Категорирование информационных ресурсов
Задачами категорирования являются: назначение инвентаризированным информационным ресурсам категорий конфиденциальности, целостности и доступности, исходя из размера ущерба, наносимого организации нарушением соответствующих свойств. В результате категорирования для каждого из информационных ресурсов будут определены соответствующие категории.
Категорирование информационных ресурсов осуществляется в соответствие с календарным планом, составляемым Группой инвентаризации и категорирования по результатам инвентаризации.
Блок-схема алгоритма действий по категорированию информационных ресурсов представлена на рис. 2.
Для категорирования информационных ресурсов, находящихся в распоряжении каждого из владельцев ИР, формируются экспертные группы численностью 8-10 человек, в которые входят члены ГИК, владелец информационного ресурса, его подчиненные, лица из числа руководства организации (при необходимости).
Члены экспертной группы (члены ГИК и внешние эксперты) осуществляют назначение категорий конфиденциальности, целостности, доступности информационным ресурсам путем заполнения опросных листов, отвечая на предлагаемые в них вопросы.
Схема назначения категорий конфиденциальности, целостности и доступности представлен на рис. 8.
На первом шаге следует выяснить, не относится ли информационный ресурс к открытым данным. Для этого владельцем информационного ресурса заполняется опросный лист «Категория конфиденциальности – открытые данные» (таблица 3-2). Если хотя бы на один из вопросов он ответил утвердительно, то информационному ресурсу назначается категория «Открытые данные». Если владелец информационного ресурса ответил «Нет» либо «Не знаю» на все вопросы, то данный информационный ресурс категорируется по степени конфиденциальности в общем порядке.

Рисунок 8. Схема категорирования информационных ресурсов
3333756832600Рисунок 8 Схема назначения категорий конфиденциальности, целостности, доступности
00Рисунок 8 Схема назначения категорий конфиденциальности, целостности, доступности

Таблица 4 Опросный лист «Категория конфиденциальности» - открытые данные
Опросный лист «Категория конфиденциальности» - открытые данные
Опрашиваемая категория персонала 1. Владельцы информационного ресурса
Типы информационных ресурсов Все
Виды информационных ресурсов файловые ресурсы; информация, хранимая в БД; электронная почта; резервные копии.
Вопрос Варианты ответа Комментарий
1. Есть ли свободный доступ ко всему содержимому информационного ресурса на законных основаниях? 1. Да 2. Нет 3. Не знаю. 2. Содержит ли информационный ресурс только общеизвестные сведения, широко применяемые другими организациями? 1. Да 2. Нет. 3. Не знаю. 3. Опубликовано ли организацией официально все содержимое информационного ресурса в сообщениях и отчетах в соответствии с действующим Российским законодательством? 1. Да 2. Нет 3. Не знаю. 4. Опубликовано ли все содержимое информационного ресурса в официальных пресс-релизах, а также рекламных сообщениях организации? 1. Да. 2. Нет. 3. Не знаю. 5. Опубликовано ли все содержимое информационного ресурса в средствах массовой информации с разрешения руководства организации? 1. Да. 2. Нет 3. Не знаю. 6. Верно ли, что для информационного ресурса не требуется ограничений на распространение. 1. Да, не требуется ограничений 2. Нет, требуются ограничения 3. Не знаю.
Далее члены экспертной группы устанавливают категории целостности и доступности информационных ресурсов, а также категории конфиденциальности информационных ресурсов, не являющихся открытыми данными.
Установка категорий информационных ресурсов осуществляется путем ответов членами экспертной группы на опросные листы. Данные опросные листы представлены в ПРИЛОЖЕНИИ.
Члены экспертной группы совместно отвечают на опросные листы, соответствующие исследуемому типу и виду информационного ресурса, а также соответствующей категории опрашиваемого лица. Для оценки категории конфиденциальности информационного ресурса используется опросный лист «Категория конфиденциальности». Для оценки категории целостности информационного ресурса используется опросный лист «Категория целостности». Для оценки категории доступности информационного ресурса используется опросный лист «Категория доступности».
При ответе на вопросы опросных листов экспертами совместно выбирается один из возможных вариантов ответа. Каждому ответу ставится в соответствие балл (оценка), соответствующий уровню конфиденциальности, целостности или доступности.
При наличии не устраненных разногласий экспертов в назначении единой оценки, выполняются следующие действия:
Если разброс оценок, сформированных участниками экспертной группы, превышает значение 2, руководитель ГИК накладывает «вето» на результаты экспертизы. Далее он организует совещание, на котором осуществляется групповой анализ и взаимная критика ответов. Далее опрос экспертов осуществляется вновь.
При допустимой согласованности оценок (разброс меньше либо равен двух), общий балл ответа формируется по следующей формуле:

где round(R) – округленное до целого число R, n– количество экспертов в группе, bi – балл, назначенный i-ым экспертом.
В опросных листах возможет ответ «Не знаю». Если экспертом на вопрос был дан такой ответ, то он при обработке оценок не учитывается. Если эксперт дал ответ «Не знаю» более чем на 50% вопросов, руководителю ГИК следует рассмотреть вопрос о целесообразности участия данного лица в экспертной группе. Если все эксперты на вопрос дали ответ «Не знаю», то соответствующий балл с для данного вопроса не рассчитывается, вопрос игнорируется.
После ответа участниками экспертной группы на все вопросы опросного листа, вычисляется категория С информационного ресурса по следующей формуле:
,
где round(R) – округленное до целого число R, m – количество сформированных баллов по ответам на вопросы опросного листа, ci – сформированный балл за ответ на вопрос.
Число C переводится согласно шкале (табл. 5) в качественную оценку соответствующей категории.
Таблица 5 Преобразование качественных категорий и баллы.
Балл Категория, соответствующая баллу
1 Конфиденциальность – «Открытые данные»
Целостность – «Нет требований»
Доступность – «Нет требований»
2 Конфиденциальность – «Для внутреннего использования»
Целостность – «Минимальная целостность»
Доступность – «Минимальная доступность»
3 Конфиденциальность – «Конфиденциально»
Целостность – «Средняя целостность»
Доступность – «Средняя доступность»
4 Конфиденциальность – «Строго конфиденциально»
Целостность – «Высокая целостность»
Доступность – «Высокая доступность»
По результатам категорирования информационного ресурса Группой инвентаризации и категорирования формируется протокол. Протокол подписывается всеми членами экспертной группы и утверждается руководителем ГИК.
Для печатных копий члены ГИК устанавливают категории конфиденциальности и целостности в соответствие с категориями их электронных версий. Категорирование по уровню доступности печатных версий не производится.
В случае если по результатам категорирования установлено, что информационный ресурс типа «Коммерческая тайна» имеет категорию конфиденциальности «Открытые данные», его тип членами ГИК изменяется на «Прочие ресурсы».
По результатам категорирования всех информационных ресурсов, членами ГИК формируется перечень ресурсов, не подлежащих защите. В него включаются инвентаризированные информационные ресурсы с категориями конфиденциальности «Открытые данные», категориями целостности и доступности «Нет требований». Шаблон перечня представлен в таблице 6.
Таблица 6 Перечень информационных ресурсов, не подлежащих защите
№ п/п Наименование информационного ресурса Тип Вид Форма представления Владелец Размещение Бизнес-процессы, которым принадлежит информационный ресурс
Остальные информационные ресурсы вносятся членами ГИК в перечень информационных ресурсов, подлежащих защите (таблица 7).
Таблица 7 Перечень информационных ресурсов, подлежащих защите
№ п/п Наимено-вание информа-ционного ресурса Размещение Владелец информа-ционного ресурса Категория конфиден-циальности Срок конфиден-циальности Дата установки срока конфиден-циальности Категория целостности Категория доступности
Экспертной группой, назначившей категорию конфиденциальности информационного ресурса, отличной от «Открытые данные», назначается срок действия данной категории. При этом следует принимать во внимание срок, в течение которого информационный ресурс не теряет своей ценности. Срок конфиденциальности информационного ресурса вносится членами ГИК в «Перечень информационных ресурсов, подлежащих защите».
Руководитель ГИК лично согласует перечни информационных ресурсов, подлежащих защите и не подлежащих защите, далее согласует его с владельцами информационных ресурсов и утверждает у руководства организации.
Поддержка жизненного цикла
В процессе деятельности организации постоянно появляются новые информационные ресурсы, которые необходимо инвентаризировать и категорировать. Кроме этого, установленные категории информационных ресурсов в будущем могут стать неактуальными. В связи с этим однократно провести инвентаризацию и категорирование информационных ресурсов недостаточно. Необходимо непрерывно поддерживать жизненный цикл процесса классификации, регистрировать и классифицировать новые информационные ресурсы, периодически пересматривать существующие категории, а также поддерживать актуальность перечня информационных ресурсов ИУС организации.
Группа инвентаризации и категорирования действует в организации на постоянной основе. Периодически (раз в месяц) группе необходимо проводить совещания, на которых категорировать новые информационные ресурсы. Не реже одного раза в полгода необходимо проводить пересмотр категорий информационных ресурсов, а также проверять актуальность информации, представленной в «Перечне инвентаризированных информационных ресурсов».
Календарный план
Деятельность Группы инвентаризации и категорирования происходит в соответствии с календарным планом. Сотрудники, привлекаемые в качестве экспертов, на время своего участия работах по инвентаризации и классификации освобождаются от своих основных обязанностей. Пример календарного плана работ представлен в таблице 8.
Таблица 8 Календарный план работы ГИК
-8953528003500Подразделение Сроки
8775706794500инвентаризации 144907034798000Привлекаемые в рабочие группы эксперты Загруженность в день Комментарий
82994545021500 Отдел поставок 7.08.2006 – 11.09.2006 Васильев Е.П.
87757026225500Петров П.П. ½ раб. дня
98361513970000¼ раб. дня только 25.08
2476514033500Бухгалтерия 12.09.2006 – 17.10.2006 Иванов И.И.
Сидоров С.Ю. полный раб. день
½ раб. дня -287655187960Обследуемое подразделение
00Обследуемое подразделение
1141095244475Ориентировочные сроки проведения
00Ориентировочные сроки проведения
2493645187960Сотрудники, привлекаемые в качестве экспертов
00Сотрудники, привлекаемые в качестве экспертов
4455795187961Загруженность в день (в раб. днях)
00Загруженность в день (в раб. днях)
14859007048500
Действия при появлении нового бизнес-процесса
При вводе в ИУС организации нового бизнес-процесса, его владелец (для формализованных БП), руководитель ОИТ (для неформализованных БП) инициирует процедуру пересмотра перечня информационных ресурсов.
Далее члены ГИК взаимодействуя со специалистами ОИТ, владельцем БП, определяют владельцев информационных ресурсов.
Далее члены ГИК взаимодействуя с владельцами информационных ресурсов, в установленном порядке осуществляют инвентаризацию и категорирование ресурсов (в соответствии с порядком выполнения работ при появлении нового информационного ресурса). По результатам этого вносятся изменения в «Перечень инвентаризированных информационных ресурсов», «Перечень информационных ресурсов организации, подлежащих защите», в «Перечень информационных ресурсов организации, не подлежащих защите».
Действия при появлении нового информационного ресурса
Появление нового информационного ресурса может быть связано со следующими обстоятельствами:
Внесение изменений в существующие формализованные описания бизнес-процессов, реализуемые в ИУС организации.
Появление новых формализованных описаний бизнес-процессов в ИУС организации.
Появление информационных ресурсов, используемых для решения функциональных задач, четко регламентированных и утвержденных в различных Инструкциях, Положениях, Регламентах организации.
Инвентаризация новых информационных ресурсов, участвующих в формализованных описаниях бизнес-процессов, осуществляется только по результатам утверждения этих описаний (изменений в описаниях БП) в организации.
Инвентаризация новых информационных ресурсов, участвующих в не формализованных описаниях бизнес-процессов, осуществляется по результатам утверждения документов (Инструкций, Положений, Регламентов и т.д.), в которых дается ссылка на данные информационные ресурсы.
Инвентаризация информационного ресурса осуществляется только после назначения его владельца. Назначение владельца информационного ресурса осуществляется владельцем бизнес-процесса (для информационных ресурсов, используемых формализованными описаниями БП), либо начальником ОИТ (для информационных ресурсов, используемых в не формализованных описаниях БП).
При появлении нового информационного ресурса необходимо выполнить следующую последовательность действий (рис. 9):
Владелец информационного ресурса должен подать в недельный срок заявку на инвентаризацию нового информационного ресурса. Образец заявки представлен на рисунке 4-2. В заявке указывается наименование информационного ресурса, наименования и владельцы бизнес-процессов, использующих информационный ресурс.
Группа инвентаризации и категорирования при взаимодействии с владельцем ресурса и специалистами ОИТ, в установленном порядке инвентаризует информационный ресурс. При этом определяется:
Наименование информационного ресурса
Вид ресурса
Тип ресурса
Форма представления
Размещение информационного ресурса
Бизнес-процессы, использующие информационный ресурс.
Информационный ресурс заносится в перечень инвентаризированных ресурсов ИУС организации.
Владелец информационного ресурса в недельный срок производит временное категорирование информационного ресурса путем заполнения предназначенных для него опросных листов.
Владелец информационного ресурса подает заявку (Рисунок 4-3) на имя руководителя ГИК с просьбой установить временные категории информационному ресурсу. К заявке прилагаются опросные листы.
ГИК проверяет корректность заполнения опросных листов.
При наличии сомнений в правильности присвоенных категорий, он в праве отказать в установке данных категорий и потребовать от владельца повторной экспертизы
Руководитель ГИК также может отложить вопрос установки категорий до следующего из периодически проводимых группой совещаний, однако в этом случае информационный ресурс использоваться при реализации бизнес-процессов не будет.

Рисунок 9 Порядок действий при появлении нового информационного ресурса
При категорировании нового информационного ресурса, проходящем на совещании ГИК, владелец этого ресурса может участвовать «заочно» при согласии руководителя ГИК. В этом случае в качестве результатов его интервьюирования выступают установленные им временные категории. Однако руководитель ГИК имеет право отказать владельцу ИР в «заочном» участии и потребовать его личного присутствия, в случае сомнений в достоверности установленных владельцем информационного ресурса временных категорий.
При отсутствии владельца ИР без разрешения «заочного» участия, при отсутствии в полном составе экспертной группы, руководитель Группы инвентаризации и категорирования может принять решение о переносе вопроса категорирования информационного ресурса на более поздний срок.
При изменении места размещения информационного ресурса, его владелец должен немедленно сообщить об этом путем подачи служебной записки (Рисунок 9) в Группу инвентаризации и категорирования для своевременного внесения изменений в перечни информационных ресурсов. Владелец информационных ресурсов, не сообщивший о данном факте, может быть подвержен административным и дисциплинарным взысканиям в соответствии с действующим законодательством РФ.
Проверка актуальности перечня инвентаризированных информационных ресурсов
Раз в полгода Группой инвентаризации и категорирования проводятся работы по пересмотру установленных категорий информационных ресурсов, а также проверки актуальности информации об информационных ресурсах, представленной в существующих перечнях.
При пересмотре категорий информационного ресурса в плановом порядке, по взаимному согласию владельца информационного ресурса и руководителя Группы инвентаризации и категорирования, категории информационного ресурса могут быть оставлены без изменений. В противном случае производится их повторное категорирование в установленном порядке.
Группа инвентаризации и категорирования при взаимодействии с ОИТ, владельцами БП и руководителями отделов, должна выполнить анализ формализованных описаний бизнес-процессов, Утвержденных Регламентов, Положений и Инструкций на предмет выявления не инвентаризированных информационных ресурсов.
Группа инвентаризации и категорирования должна провести проверку того, что место размещения инвентаризированных информационных ресурсов в перечнях указано верно. Проверка производится путем интервьюирования сотрудников ОИТ.
По результатам проведенных проверок составляется отчет, включающий в себя все выявленные недостатки. Содержание данного отчета доводится до руководства организации.
При выявлении не инвентаризированных информационных ресурсов или неактуальности сведений о них в перечнях, проводится служебное расследование на предмет выявления лица, ответственного за данный факт. К данному лицу могут быть применены административные или дисциплинарные взыскания в соответствии с Российским законодательством.
Порядок пересмотра категорий информационных ресурсов
При возникновении у владельца информационного ресурса обстоятельств, требующих пересмотра его категорий конфиденциальности, целостности или доступности, он должен направить служебную записку на имя руководителя ГИК с объяснением причин пересмотра.
Руководитель ГИК принимает решение о необходимости и сроках пересмотра категорий, о чем извещает владельца.
Руководитель ГИК организует совещание по вопросу пересмотра категорий информационного ресурса и приглашает на него экспертов в установленном порядке. По результатам пересмотра категорий информационного ресурса вносятся изменения в «Перечень информационных ресурсов, подлежащих защите», а при необходимости – в «Перечень информационных ресурсов, не подлежащих защите».
Пересмотр категорий информационных ресурсов может осуществляться также по требованию руководителя ГИК, руководителя ОИТ, руководства организации.
Периодически (раз в полгода), на совещаниях ГИК также пересматривает категории информационных ресурсов на предмет их актуальности.
Взаимодействие ГИК с другими подразделениями.
В ходе своей деятельности Группа инвентаризации и категорирования взаимодействует со следующими подразделениями организации:
с руководством организации, по следующим вопросам:
планирование процесса классификации ИР;
формирование и согласование календарного плана категорирования;
формирование экспертных групп;
разрешение проблемных вопросов.
со службой безопасности, по следующим вопросам:
формирование ГИК;
формирование экспертных групп;
получение перечня ИР, составляющих государственную тайну.
с ОИТ, по следующим вопросам:
формирование ГИК
инвентаризация и категорирование информационных ресурсов;
формирование экспертных групп;
анализ бизнес-процессов.
со структурными подразделениями, по следующим вопросам:
формирование экспертных групп;
инвентаризация и категорирование информационных ресурсов;
планирование процесса классификации ИР;
анализ бизнес-процессов.
Другие Процессы ITIL
Процесс управления доступом к защищаемой информацииЦелями данного процесса является снижение вероятности утечки конфиденциальной информации в результате отсутствия у сотрудников избыточных прав доступа и непрерывного контроля доступа со стороны ответственных сотрудников и повышение стабильности работы информационных систем в результате сокращения количества сотрудников, имеющих административные права и контроля над использованием данных прав.
Процесс управления доступом к защищаемой информации должен основываться на ролевой политике управления доступом, подразумевающей объединение сотрудников в роли в соответствии с выполняемыми ими задачами в рамках автоматизированных бизнес-процессов организации".
В рамках данного процесса должны быть решены следующие задачи:
- формирование перечня ролей пользователей;
- формирование матрицы доступа;
- предоставление и лишение прав доступа к информационным ресурсам;
- пересмотр ролей и матрицы доступа.
Ролевую политику безопасности (контроль доступа, базирующийся на ролях – RBAC) нельзя отнести ни к дискреционным, ни к мандатным политикам, потому что управление доступом в ней осуществляется как на основе матрицы прав доступа для ролей, так и с помощью правил, регламентирующих назначение ролей пользователям и их активацию во время сеансов.
В ролевой модели классическое понятие «субъект» замещается понятиями пользователь и роль. Под пользователем понимается человек, работающий с системой и выполняющий определенные служебные обязанности. Под ролью понимается активно действующая в системе абстрактная сущность, с которой связан ограниченный, логически связанный набор полномочий, необходимых для осуществления определенной деятельности.
Ролевая политика безопасности очень близка к реальной жизни, так как работающие в компьютерной системе пользователи зачастую действуют не от своего личного имени, а осуществляют определенные служебные обязанности, то есть выполняют некоторые роли, которые никак не связаны с их личностью. Использование ролевой политики безопасности позволяет учесть разделение обязанностей и полномочий между участниками прикладного информационного процесса, так как с точки зрения данной политики имеет значение не личность пользователя, осуществляющего доступ к информации, а то, какие полномочия ему необходимы для выполнения его служебных обязанностей.
При использовании ролевой политики управление доступом осуществляется в две стадии: во-первых, для каждой роли указывается набор полномочий, представляющий набор прав доступа к объектам, и, во-вторых, каждому пользователю назначается список доступных ему ролей. Полномочия назначаются ролям в соответствии с принципом наименьших привилегий, из которого следует, что каждый пользователь должен обладать только минимально необходимым для выполнения своей работы набором полномочий.
Формализация ролевой модели осуществляется в рамках следующих множеств:
U – множество пользователей компьютерной системы.
R – множество ролей.
P – множество полномочий на доступ к объектам, представленное, например, в виде матрицы прав доступа.
S – множество сеансов работы пользователей с компьютерной системой.
Для этих множеств определяются следующие бинарные отношения (рис. 2.3):
- отображение множества полномочий на множество ролей путем установления для каждой роли набора присвоенных ей полномочий.
- отображение множества пользователей на множество ролей путем определения для каждого пользователя набора доступных ему ролей.
Основными функциями в ролевой политике безопасности являются следующие:
- для каждого сеанса s данная функция определяет пользователя, который осуществляет этот сеанс работы с компьютерной системой.
- для каждого сеанса s данная функция определяет набор ролей из множества R, которые могут быть одновременно доступны пользователю в этом сеансе.
- для каждого сеанса s эта функция задает набор доступных в нем полномочий, который определяется как совокупность полномочий всех ролей, задействованных в этом сеансе.
Критерий безопасности ролевой модели: компьютерная система считается безопасной, если любой пользователь системы, работающий в сеансе s, может осуществлять действия, требующие полномочия p только в том случае, если .

Рис. 10. Контроль доступа, базирующийся на ролях
Ответственный за управление доступом к защищаемой информации должен быть назначен службой безопасности организации. В рамках данного процесса должно быть разработано соответствующее Положение и должностные инструкции сотрудников, определяющие их полномочия и порядок выполнения работ.
Процесс управления носителями защищаемой информацииЦелью данного процесса является снижение вероятности утечки конфиденциальной информации в результате ее потери, выноса, кражи носителей защищаемой информации, упорядочивание работы с защищаемой информацией.
В данном процессе должны рассматриваться:
бумажные носители информационных ресурсов;
электронные съемные носители информационных ресурсов;
средства вычислительной техники.
В рамках данного процесса должны быть решены следующие задачи:
создание и учет носителей;
хранение и копирование носителей;
выдача и прием носителей;
уничтожение носителей.
Ответственной за управление носителями защищаемой информации должна быть назначена СБ организации. В рамках данного процесса должно быть разработано соответствующее Положение и должностные инструкции сотрудников, определяющие их полномочия и порядок выполнения работ.
Процесс управления конфигурацией, изменениями и сопровождения корпоративной информационной системой (КИС)
Целью данного процесса является предоставление точной и своевременной информации о ресурсах КИС организации и формирование процедур и методов проведения изменений в КИС организации минимально возможным отрицательным воздействием изменений на защищенность ресурсов КИС организации.
В рамках данного процесса должны быть решены следующие задачи:
идентификация и мониторинг статуса ресурсов КИС организации;
ведение технического паспорта КИС организации;
регистрация всех запросов на изменение в составе и структуре КИС организации;
планирование работ и ресурсов для проведения данных изменений;
тестирование в испытательной лаборатории и проведение изменений в КИС организации;
оценка успешности каждого изменения.
Ответственным за управление конфигурацией, изменениями и сопровождения КИС организации должен быть назначен представитель организации. В рамках данного процесса должно быть разработано соответствующее Положение и должностные инструкции сотрудников, определяющие их полномочия и порядок выполнения работ.
Процесс расследования инцидентов в области информационной безопасностиЦелью данного процесса является организация взаимодействия между сотрудниками организации в рамках расследования инцидентов в области ИБ.
В рамках данного процесса должны быть решены следующие задачи:
извещение о возникновении инцидентов в области информационной безопасности;
ликвидация последствий инцидентов в области информационной безопасности;
расследование инцидентов в области информационной безопасности.
Ответственной за расследование инцидентов в области ИБ должна быть назначена СБ организации. В рамках данного процесса должно быть разработано соответствующее Положение и должностные инструкции сотрудников, определяющие их полномочия и порядок выполнения работ.

Приложенные файлы

  • docx 26674915
    Размер файла: 1 MB Загрузок: 1

Добавить комментарий