5. Исходная концептуальная схема (парадигма) обеспечения информационной безопасности организаций БС РФ

5. ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА (ПАРАДИГМА)

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ

5.1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых - естественная неопределенность будущего. Это - объективная реальность, и понизить эти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставшаяся часть риска, определяемого факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть неизбежно принята. При этом степень необходимой защищенности информационной сферы организации определяется анализом и оценкой рисков ИБ, которые должны быть согласованы с рисками основной (бизнес) деятельности организации БС РФ.

5.2. Деятельность организации БС РФ осуществляется через реализацию трех групп высокоуровневых процессов: основные процессы (процессы основной деятельности), вспомогательные процессы (процессы по видам обеспечения), процессы менеджмента (управления) организацией. Процессы по обеспечению ИБ организации БС РФ составляют один из видов вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата.

5.3. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника <1> и злоумышленника <2> за контроль над информационными активами. Однако другие, незлоумышленные, действия также лежат в сфере рассмотрения данного стандарта.

--------------------------------

<1> Под собственником здесь понимается субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.

<2> Под злоумышленником здесь понимается лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст. 27 УК РФ). Далее по тексту данные лица именуются злоумышленниками (нарушителями).

В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб.

5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации.

5.5. Собственник практически никогда не знает о готовящемся нападении, оно всегда бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер.

5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора "отмычек" к системе менеджмента ИБ (СМИБ) организации. Таким образом, он отрабатывает наиболее эффективный метод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган - свою службу ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).

5.7. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности и по факту настраивать СМИБ. Поэтому главный инструмент собственника - основанный на опыте прогноз (составление модели угроз и модели нарушителя) <3>, а также работа с персоналом организации по повышению его бдительности в возможных критических условиях, готовности и способности к адекватным действиям в условиях потенциальной злоумышленной активности.

--------------------------------

<3> Модели ИБ (угроз и нарушителей) предназначены отражать будущее, вследствие чего они носят прогнозный характер. Модели ИБ разрабатываются на основе фактов прошлого и опыта, но ориентированы на будущее. При разработке моделей (прогнозе) используются имеющийся опыт и знания, поэтому чем выше знания, тем точнее прогноз.

Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах.

5.8. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза, базирующегося в том числе и на анализе и оценке рисков ИБ, политику ИБ организации и в соответствии с ней реализовать, эксплуатировать и совершенствовать СМИБ организации.

5.9. Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ организаций БС РФ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, а также интересов конкретного собственника.

Собственник должен знать, что он должен защищать. Собственник должен знать и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс).

При этом собственник принимает решение относительно принятия конкретного риска или же внедрения мер контроля и процедур по обработке существующих рисков.

При принятии решений о внедрении защитных мер (мер контроля) для противодействия идентифицированным угрозам (рискам) собственник должен учитывать, что тем самым он увеличивает сложность своей системы управления ИБ, а повышение сложности управления ИБ порождает новые уязвимости. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков, а не принятия или переноса рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на структуру рисков организации.

5.10. Далеко не каждый собственник располагает потенциалом для составления точного прогноза (модели угроз и модели нарушителя). Такой прогноз может и должен составляться с учетом опыта ведущих специалистов банковской системы, а также с учетом международного опыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ.

При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться.

5.11. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в организации серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации является ее персонал, собственник должен всемерно поощрять решение проблемы ИБ.

5.12. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.

Для того чтобы этого не допустить, необходимо определить процессы, обеспечивающие контроль (мониторинг и аудит ИБ организаций БС РФ), а также оценку эффективности СМИБ организаций БС РФ (так называемый "процессный подход"), что должно стать основой для дальнейшего планирования ИБ. Указанные процессы должны реализовываться в рамках циклической модели менеджмента ИБ: "планирование - реализация - проверка - совершенствование - планирование - ...", отвечающей принципам и моделям корпоративного менеджмента в организациях [3], включая менеджмент в банковском деле [4, 5].

При этом эффективность и результативность обеспечения ИБ, включая соответствующие процессы ИБ, должны оцениваться с позиции содействия (пользы) в достижении целей деятельности организации.

5.13. Обеспечение ИБ организаций БС РФ основывается на "процессном подходе" для установления, реализации, эксплуатации, мониторинга, обслуживания и повышения эффективности СМИБ.

Любое действие, использующее ресурсы и управляемое для обеспечения преобразования неких входных ресурсов, информации и иных сущностей в выходы, определяется как "процесс". Выход одного процесса может быть входом для другого процесса. Представление деятельностей по обеспечению ИБ в виде системы процессов в пределах организации вместе с идентификацией, взаимодействиями и их координацией и управлением определяется как "процессный подход".

"Процессный подход" к обеспечению ИБ организаций БС РФ требует, чтобы персонал организации, клиенты, пользователи, контрагенты и иные заинтересованные стороны придавали особое значение:

а) пониманию требований информационной безопасности бизнеса и потребности устанавливать политику и цели для информационной безопасности;

б) реализации и надлежащей эксплуатации средств управления ИБ (защитных мер) в контексте управления общим риском деятельности (бизнеса) организации;

в) мониторингу и анализу работы и эффективности СМИБ;

г) непрерывному усовершенствованию СМИБ на основе объективного измерения.

5.14. Рисунок 1 иллюстрирует модель непрерывного циклического процесса менеджмента ИБ организации (модель Деминга), определенную требованиями раздела 4 международного стандарта ISO/IEC IS 27001 <4>.

--------------------------------

<4> Циклическая модель менеджмента Деминга, известная под названием модели "планирование - реализация - проверка - совершенствование - планирование - ..." и являющаяся основой международных стандартов менеджмента информационной безопасности (ISO/IEC IS 27001), менеджмента качества (ГОСТ Р ИСО 9001) и других стандартов, может применяться ко всем процессам СМИБ.

На стадии планирования устанавливают политики информационной безопасности, цели, задачи, процессы и процедуры, адекватные потребностям в менеджменте риска ИБ и совершенствованию СМИБ, для достижения результатов в соответствии с политиками и целями организации.

На стадии реализации осуществляются внедрение и поддержка политики информационной безопасности организации, средств управления (защитных мер), регламентов, процессов и процедур СМИБ организации.

На стадии проверки осуществляются оценка и, если необходимо, измерение эффективности процессов менеджмента ИБ организации на соответствие требованиям политики информационной безопасности, целям и установленным практикам, обеспечивается отчетность высшему руководству о результатах для проведения соответствующего анализа.

На стадии совершенствования осуществляются выработка и принятие корректирующих и превентивных действий, основанных на результатах анализа, для достижения непрерывного усовершенствования СМИБ организации.

Рисунок 1. Элементы процесса менеджмента ИБ

5.15. Использование для обеспечения ИБ организаций БС РФ "процессного подхода" на базе циклической модели Деминга, который является основой модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ГОСТ Р ИСО 14001, позволит обеспечить поддержку и интеграцию требований к различным системам менеджмента в рамках общего корпоративного менеджмента в организациях БС РФ. Требования настоящего стандарта к СМИБ для организаций БС РФ имеют прикладную практическую направленность, определяющую условия, цели и задачи применения в организациях БС РФ высокоуровневых международных стандартов для СМИБ организаций. Подобным прикладным стандартом является Рекомендация Международного союза электросвязи X.1051, обеспечивающая практическую основу по применению положений международного стандарта ISO/IEC IS 27001 в организациях, чей бизнес лежит в области телекоммуникаций.

5.16. Обеспечение ИБ организации включает реализацию и поддержку процессов осознания ИБ и процессов менеджмента ИБ.

Процессы осознания ИБ организации имеют отношение к руководству организации и определяют его ответственность в части реализации принципов обеспечения информационной безопасности организаций БС РФ, определенных положениями настоящего стандарта, а также требованиями раздела 5 "Ответственность высшего руководства организации" международного стандарта ISO/IEC IS 27001.

Процессы осознания ИБ должны охватывать всю организацию, а процессами менеджмента ИБ может быть охвачена ее часть или части. Обоснованием тому может быть ограниченность в ресурсах или времени. Необходимо стремиться к тому, чтобы процессы менеджмента ИБ организации распространялись на всю ее деятельность.

5.17. Стратегия обеспечения ИБ организаций БС РФ, таким образом, заключается в развертывании, эксплуатации и совершенствовании СМИБ организации, включающей деятельность (процессы) менеджмента ИБ и стимулируемой и управляемой процессами осознания ИБ. Деятельность (процессы) СМИБ организации должна обеспечивать достижение целей деятельности организации в условиях:

- штатного функционирования;

- возникновения локальных инцидентов и проблем ИБ;

- возникновения широкомасштабных катастроф и аварий различной природы, последствия которых имеют или могут иметь отношение к ИБ организации БС РФ.

При этом менеджмент ИБ есть часть общего корпоративного менеджмента организации БС РФ, которая ориентирована на содействие достижению целей деятельности организации через обеспечение защищенности ее информационной сферы. Менеджмент ИБ не должен рассматриваться как самостоятельный вид деятельности в организации. Осознание ИБ обеспечивает основу эффективного функционирования СМИБ организации, где под эффективностью понимается соотношение между достигнутым результатом и использованными ресурсами.