Стандарт Управления Безопасностью ISO 13335

Управление информационными системами

Реферат на тему

«Стандарт Управления Безопасностью ISO 13335»

Введение

Стандарт построения эффективной системы безопасности ISO 13335, со­зданный в 2000 году Международной организацией по стандартизации и Международной электротехнической комиссией на основе разработок Британского ин­ститута стандартов, описывает комплексный подход к управлению информаци­онной безопасностью.

В соответствии со стандартом ISO 13335, при создании эффективной системы безопасности особое внимание следует уделить комплексному подходу к управлению информационной безопасностью. По этим причинам в качестве элементов управления рассматриваются не только технические, но и организационно-административные меры, направленные на обеспечение следующих требований к информации: конфиденциальность; целостность; достоверность; доступность.

Нарушение любого из них может повлечь за собой значительные потери ,как в виде убытков, так и в виде неполученного дохода. Для обеспечения указанных требований в стандарте перечислены основные области управления информационной безопасностью:

• планирование непрерывности бизнеса (обеспечивает защиту критически важных бизнес-процессов от сбоев и нарушений);
• управление доступом (контролирует доступ к информационным ресурсам и предоставляемым услугам, а также противодействует несанкционированной активности);
• разработка и поддержка системных и прикладных средств (обеспечивает выполнение функций защиты информации в операционных системах и приложениях);
• безопасность среды (предотвращает несанкционированные изменения, кражу и повреждение средств защиты и информации);
• соответствие документам и стандартам (обеспечивает соблюдение общепринятых и внутренних правил, норм и стандартов);
• персонал (снижает риск «человеческих ошибок» и преднамеренных нарушений, а также контролирует выполнение правил политики безопасности со сто­роны пользователей);
• безопасность на уровне компании (управляет информационной безопасностью при взаимодействии с внешними объектами);
• управление инфраструктурой (снижает риск возникновения системных сбоев, предотвращает повреждения сетевого оборудования, а также контролирует сохранение конфиденциальности, целостности и достоверности при передаче информации);
• классификация и контроль материальных средств (обеспечивает охрану и надзор за материальными средствами организации);
• наличие политики безопасности (определяет требования к поддержке заданно­го уровня безопасности).

Каждая область информационной безопасности подробно детализирована и представляет собой совокупность элементов безопасности

Полный набор элементов стандарта ISO 13335 всесторонне обеспечивает защиту информации, рассматривая весь спектр организационных вопросов. Это позволяет поддерживать уровень безопасности и не допускать появления «слабых мест».

Международный стандарт безопасности информационных систем ISO 13335

Несколько лет назад Британский институт стандартов (BSI) при участии коммерческих организаций, таких как Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. занялся разработкой стандарта информационной безопасности. И в 1998 г. был принят национальный стандарт BS 7799 управления информационной безопасностью организации вне зависимости от сферы деятельности компании. Служба безопасности, IT-отдел, руководство компании начинают работать согласно общему регламенту. Неважно, идет речь о защите бумажного документооборота или электронных данных. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, а также, например, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799.

ISO 13335 в России

В России стандарт ISO 13335 пока не является общепринятым документом, в отличии от стандартов ГТК и ФАПСИ. Однако стандарты ГТК на практике применяются обычно только к программным продуктам, стандарты ФАПСИ регламентируют, в основном, применение криптографических средств. Применение этих стандартов к системе управления информационной безопасности компании практически не возможно, так как сами стандарты предназначались, скорее, для программного обеспечения и сертифицировать всю ИТ систему компании на соответствие стандартам ГТК представляется достаточно сложным и не совсем неэффективным занятием.

 Совершенно иным образом  обстоят дела со стандартом  ISO 13335. При всей своей обобщенности и отсутствии в некоторых частях стандарта конкретных деталей, сам стандарт разработан именно для применения его в сложных и разветвленных корпоративных системах и что немало важно - ISO 13335 не противоречит существующим российским стандартам ГТК и ФАПСИ.

Основные разделы стандарта ISO 13335:

• Политика безопасности
• Организационные меры по обеспечению безопасности
• Управление форумами по информационной безопасности
• Координация вопросов, связанных с информационной безопасностью
• Распределение ответственности за обеспечение безопасности
• Классификация и управление ресурсами
• Инвентаризация ресурсов
• Классификация ресурсов
• Безопасность персонала
• Безопасность при выборе и работе с персоналом
• Тренинги персонала по вопросам безопасности
• Реагирование на секьюрити инциденты и неисправности
• Физическая безопасность
• Управление коммуникациями и процессами
• Рабочие процедуры и ответственность
• Системное планирование
• Защита от злонамеренного программного обеспечения (вирусов, троянских коней)
• Управление внутренними ресурсами
• Управление сетями
• Безопасность носителей данных
• Передача информации и программного обеспечения
• Контроль доступа
• Бизнес требования для контроля доступа
• Управление доступом пользователя
• Ответственность пользователей
• Контроль и управление удаленного (сетевого) доступа
• Контроль доступа в операционную систему
• Контроль и управление доступом к приложениям
• Мониторинг доступа и использования систем
• Мобильные пользователи
• Разработка и техническая поддержка вычислительных систем
• Требования по безопасности систем
• Безопасность приложений
• Криптография
• Безопасность системных файлов
• Безопасность процессов разработки и поддержки
• Управление непрерывностью бизнеса
• Процесс управления непрерывного ведения бизнеса
• Непрерывность бизнеса и анализ воздействий
• Создание и внедрение плана непрерывного ведения бизнеса
• Тестирование, обеспечение и переоценка плана непрерывного ведения бизнеса
• Соответствие системы основным требованиям
• Соответствие требованиям законодательства
• Анализ соответствия политики безопасности
• Анализ соответствия техническим требованиям
• Анализ соответствия требованиям системного аудита

Сфера применения

В России стандарт ISO 13335 может применяться достаточно широко, так как несет в себе информацию о комплексном подходе к обеспечению защиты данных. В отличие от зарубежных компаний, отечественные организации ввиду быстрых темпов их развития имеют гораздо больше уязвимых мест, что вынуждает руководителей ИТ-отделов применять мировые стандарты в области информационной безопасности, адаптируя их в каждом конкретном случае и дополняя на основе собственного опыта.

С практической точки зрения, стандарт ISO 13335 может применяться как средство аудита системы информационной безопасности. К примеру, некоторые программные продукты, основанные на этом стандарте (в частности, CORBA ISO 13335 Consultant), представляют процесс аудита в виде анкетирования. Полный процесс аудита в этом случае можно представить в виде четырех последовательных этапов.

Анкетирование — заполнение анкет одним или несколькими сотрудниками, ответственными за обеспечение информационной безопасности.

 Определение элементов, соответствующих выдвинутым в стандарте требованиям к системе информационной безопасности.

Выявление элементов, нуждающихся в дополнительной защите (определение «слабых мест»).

 Выдача рекомендаций по улучшению защиты для выявленных на предыдущем этапе элементов. Примером таких рекомендаций в области «Управление доступом» может служить процедура регистрации пользователей, определенная в результате выявления «слабого места» в системе безопасности. Процедура регистрации пользователей должна выполнять следующие условия:

• не отображать данные о системе до тех пор, пока полностью не завершится процедура входа пользователя в систему;
• сообщать о том, что доступ к системе могут получить только авторизированные (зарегистрированные) пользователи;
• не выводить сообщения-подсказки во время процедуры входа в систему, чтобы затруднить работу незарегистрированных пользователей;
• прерывать соединение с пользователем, который предпринял попытку входа в систему, завершившуюся неудачно;
• сообщать о корректности регистрации только после заполнения всех необходимых полей;
• определить максимально возможное число попыток входа в систему, завершившихся неудачно (рекомендуется не более трех попыток); если лимит превышен, следует внести соответствующую запись в системный журнал и не воз­обновлять процедуру регистрации в течение определенного периода времени или полностью прервать сеанс работы с пользователем;
• определить максимальное и минимальное время процедуры регистрации пользователя; если предельные значения превышены, то процедура должна быть прервана;
• отображать информацию о дате и времени предыдущей успешной регистра­ции, а также полную информацию о всех некорректных процедурах регистра­ции, случившихся со времени последнего входа в систему.

Плюсы и минусы ISO 13335

К недостаткам стандарта можно отнести поверхностное освещение материала, который позволяет только обозначить области информационной безопасности, не конкретизируя их.

Преимуществом ISO 13335 является простота его применения и адаптации на практике. Кроме того, стандарт не зависит от конкретных технических средств и решений, что, с одной стороны, не показывает, как реализовывать защиту того или иного элемента, но с другой — обеспечивает свободу выбора платформ, оборудования, производителей

Заключение

Что же касается официальной сертификации по ISO 13335, то она изначально не была предусмотрена (полная аналогия с BS 7799). Была предусмотрена только сертификация по BS 7799:2, который представлял собой ряд обязательных требований (не вошедших в первую часть BS 7799/ISO 13335) и в приложении перечень условно обязательных (на усмотрение сертификатора) наиболее важных требований BS7799:1/ISO 13335. Процедура сертификации по ISO должна была появиться только после выхода в рамках ISO стандарта аналога BS 7799:2 (отметим, что это случилось только в конце 2005 года с выходом сертификационного стандарта ISO 27001).

 При этом была предусмотрена  стандартная процедура сертификации  по BS 7799:2 такая же, как и для  всех стандартов ISO. Сертификатор (компания, специализирующаяся на сертификации по различным стандартам от ISO 9001 до ISO 14001, обязательная аккредитованная при UKAS, например BSI, TUV, URS, DNV и др.) не имеет право готовить компании к сертификации: этим занимаются партнеры – независимые консультанты. В свою очередь консультант не имеет право заниматься сертификацией.

 Февраль 2002 года можно  смело называть отправной точкой  развития стандарта ISO 13335 в России и странах СНГ. В середине 2001 года в мире сложилась непростая ситуация в области стандартизации по информационной безопасности. Существовали различные стандарты, применимость которых на практике вызывала вопросы и серьезные сомнения. Кроме того, у большинства специалистов преобладал исключительно технологический подход к защищенности, и вопросам управления безопасностью уделялось минимальное внимание. Однако у узкого круга специалистов существовало понимание, что исключительно технологический подход к защите информации – это путь в никуда, это еще далеко не все. Поэтому нам всем жизненно необходимо еще выработать некий единый подход к тому, что теперь называется СУИБ (система управления информационной безопасностью).

Ответы на вопросы:

1. Поясните понятие ИТ-менеджмента.

2. Перечислите основные объекты ИТ-менеджмента.

3. Что определяет инфраструктура ИТ-предприятия?

4. Чем обусловлены постоянные изменения в ИС предприятий?

5. Поясните понятие "ИТ-сервис".

1.  "Информационные технологии (ИТ), или информационные и коммуникационные технологии (ИКТ), — это технологии, применяемые для обработки информации. В частности, они используют компьютеры и программное обеспечение для преобразования, хранения, защиты, передачи и извлечения информации в любом месте и в любое время" [1]. С учетом этого определения ИТ-менеджмент охватывает управление всеми компьютерными и коммуникационными ресурсами предприятия. Его основная задача состоит в создании и поддержании в работоспособном состоянии приложений и инфраструктуры, на которой они исполняются. Подобный менеджмент можно разделить на три уровня: операционный, тактический и стратегический. На стратегическом уровне обеспечивается установление соответствия между информационными функциями системы и ее контентом, что сводится к атрибуции задач на поле информационной политики, определению содержания информационных функций и ИТ-поддержке. На операционном и тактическом уровнях ИТ-менеджмента должны обеспечиваться заданные уровни работоспособности и надежности эксплуатации приложений информационной системы (ИС) на продолжении всего жизненного цикла системы.

2. Создание системы управления ИТ, как и любой другой системы управления, предполагает определение управляемых объектов и управляющих воздействий (рис. 1.1).

Объектами ИТ-менеджмента являются:

• инфраструктура;

• приложения;

• организационная структура службы ИС;

• ИТ-проекты.

3.  Инфраструктура ИТ включает техническое и системное программное обеспечение. Техническое обеспечение ИТ состоит из серверов, персональных компьютеров, систем хранения данных, сети и коммуникационных приложений. Программное обеспечение характеризуется операционными системами, инструментальными средами разработки, программами поддержки ИТ-менеджмента и средствами обеспечения информационной безопасности.

Приложения обеспечивают поддержку бизнес-процессов предприятия и работоспособность отдельных автоматизированных рабочих мест.

Организационная структура службы ИТ определяет состав подразделений, распределение между ними функций и задач. Служба ИТ должна обеспечивать разработку, ввод в действие и эксплуатацию информационной системы посредством координированных действий, которые обеспечивают непрерывность функционирования существующей системы в соответствии с согласованными правилами и процедурами на протяжении жизненного цикла ИТ.

ИТ-проекты представляют собой проекты внедрения новых информационных систем, а также модернизацию существующих. При этом модернизация (изменения, дополнения) рассматривается как результат действий, выполненных по запросу и относящихся к функциональным или нефункциональным требованиям, которые не были специфицированы изначально, при разработке и внедрении системы.

В настоящее время бизнес характеризуется высокой динамикой (слияния, поглощения, смена стратегических целей). Это обуславливает тот факт, что информационные системы предприятий находятся в условиях постоянных изменений, вызванных следующими факторами:

• перемены как внутри предприятий, так и в окружающей среде;

• развитие технологий, появление принципиально новых технических решений;

• появление новых информационных технологий;

• социальные изменения.

Кроме того, современное состояние бизнеса в отношении информационных технологий характеризуется достаточно жестким контролем инвестиций, выделяемых на ИТ, и возросшими требованиями к ИТ со стороны бизнеса. С учетом этого, на первый план выходят требования к информационным системам, которые определяют систему информационного менеджмента, способную видоизменять ИТ предприятия или организации синхронно с изменением бизнеса. В соответствии с этими требованиями основная роль ИТ на предприятии определяется как информационное обслуживание её подразделений с целью повышения эффективности бизнеса. Информационное обслуживание бизнеса состоит в предоставлении информационных сервисов (ИТ-сервисов) заданного качества подразделениям предприятия.

4.  Информационная система предприятия предназначена для информационной поддержки бизнес-процессов.

В наши дни основой успешного бизнеса является бесперебойное функционирование информационных систем, обеспечивающих конкурентоспособность и прибыльность компании Основная задача службы ИС - обеспечение бизнес-процессов информационным обслуживанием заданного качества с использованием соответствующих информационных технологий. Поддержка информационных процессов осуществляется посредством ИТ-сервисов с заданными характеристиками.

Служба ИС предприятия, как правило, организует свою работу по четырем функциональным направлениям:

• планирование и организация;

• разработка, приобретение и внедрение;

• предоставление и сопровождение ИТ-сервиса;

• мониторинг.

В рамках направления "Планирование и организация" решаются задачи разработки стратегии в области ИТ, координации развития ИТ организации, планирования ресурсов службы ИС (бюджет, человеческие ресурсы, внешние услуги и др.), управления рисками, управления качеством.

Основной задачей направления "Разработка, приобретение и внедрение" - внедрение новых ИС.

Функциональное направление "Предоставление и сопровождение сервиса ИТ" обеспечивает формализацию требований подразделений-заказчиков к ИТ-сервисам, согласование требований к сервисам с соответствующими ресурсами службы ИС и предоставление конечным пользователям сервисов ИТ, соответствующих согласованным требованиям.

Основная задача направления "Мониторинг" - аудит процессов службы ИС.

Организационная структура службы ИС зависит от многих факторов:

• масштаб службы ИС - более крупные службы ИС обычно имеют более сложную и разветвленную организацией структуру;

• отраслевую принадлежность, с которой связано наличие или, напротив, отсутствие определенных структурных подразделений;

• распределение организации по территории - наличие территориально удаленных подразделений и филиалов существенно меняет организационную структуру службы ИС.

Этот перечень отнюдь не исчерпывающий, в него входят и другие факторы, например состав используемых в организации ИС.

5.   ИТ-сервис в корпоративной среде – это ИТ-услуга, которую ИТ-подразделение (департамент, отдел, служба) или внешний провайдер предоставляет бизнес - подразделениям предприятия для поддержки их бизнес-процессов.

Примерами корпоративных ИТ-сервисов могут быть электронная почта, сетевая инфраструктура, системы хранения данных, бизнес-приложения (начисление заработной платы, формирование счетов), бизнес-функции (списание/начисление денежных средств на счете клиента).

Набор ИТ-сервисов, необходимых организации, индивидуален и в значительной степени зависит от отрасли, размеров организации, уровня автоматизации, квалификации персонала, стратегии развития и т. п. Корпоративные ИТ-сервисы можно разбить на три большие группы:

• поддержка ИТ-инфраструктуры;

• поддержка бизнес-приложений;

• поддержка пользователей.

В общем случае ИТ-сервис характеризуется рядом параметров :

• функциональность;

• время обслуживания;

• доступность;

• надежность;

• производительность;

• конфиденциальность;

• масштаб;

• затраты.

Функциональность определяет решаемую задачу (информатизацию бизнес -операции, бизнес-функции, бизнес-процесса) и предметную область её использования.

Время обслуживания определяет период времени, в течение которого ИТ-подразделение поддерживает данный сервис, т.е. несет ответственность за его непрерывное функционирование. Время обслуживания измеряется долей суток и долей календарной недели, в течение которых ИТ-подразделение поддерживает ИТ-сервис. Например, время обслуживания 24×7 означает, что ИТ-сервис поддерживается 24 часа в сутки 7 дней в неделю, 5×8 - 5 дней в неделю по рабочим дням по 8 часов в день, т.е. в течение рабочего дня.

Доступность определяет долю согласованного времени обслуживания, которая измеряется в процентах, и характеризует в течение какого времени ИТ-сервис доступен; Например, доступность 95% при согласованном времени обслуживания 8×5 означает, что сервис простаивает 2 часа в неделю (5% от 40 часов).

Надежность определяется средним временем наработки на отказ ИТ-сервиса, т.е. средним периодом времени между двумя сбоями в предоставлении ИТ-сервиса. Например, если в условиях предыдущего примера (время обслуживания 8×5, доступность 95%) в неделю в среднем происходит два сбоя ИТ-сервиса, среднее время наработки на отказ составляет 19 часов.

Производительность характеризует способность информационной системы соответствовать требованиям своевременности. Для различных ИТ-сервисов показателями производительности могут быть время реакции (время выполнения бизнес-транзакции) или пропускная способность системы. Например, при задании времени реакции системы пользователь может потребовать чтобы время проводки по счету клиента было не более 5 сек., а при задании производительности – количество транзакций по счету клиента было не менее 20 в течении 1 часа т.е. 20 транзакции/ч. Для задания производительности ИТ-сервиса следует использовать бизнес-операции (бизнес-функции), существенные для конечного пользователя, - ввод документов, подготовку отчетов и т.д.

Конфиденциальность определяет вероятность несанкционированного доступа к данным и/или их несанкционированное изменение. Количественные измерения данного показателя обычно не проводятся. Вместо этого ИС, обеспечивающие ИТ-сервис, классифицируются по степени конфиденциальности. Принадлежность ИС к тому или иному классу подтверждается независимой сертификацией. Конфиденциальность ИТ-сервиса в целом определяется классом безопасности наиболее слабой из обеспечивающих сервис ИС, а также корректируется с учетом качества инструкций для конечных пользователей и их обучения.

Масштаб характеризует объем и сложность работ по поддержке ИТ-сервиса. Единого измерителя масштаба не существует, к его показателям относятся число рабочих мест, количество удаленных сайтов, сложность используемых приложений и т.п.

Затраты - стоимость всей совокупности ресурсов, вовлеченных в сопровождение ИТ-сервиса, а также потерь от простоев ИТ-сервиса. В ресурсы включаются стоимость оборудования, ПО, используемых ресурсов СКС и каналов связи, внешних услуг, заработная плата сотрудников организации (включая связанные с ней расходы) и т.д.

Параметры сервиса определяются не только свойствами ИС, которые его обеспечивают. Существенное значение имеет качество работы самой службы ИС, а также уровень регламентации деятельности службы ИС и конечных пользователей ИТ-сервисов.

Важным фактором эффективности деятельности службы ИС является инструментальная поддержка автоматизации процессов управления информационными технологиями предприятия, которая в значительной степени может способствовать снижению затрат на управление и мониторинг ИС с целью предоставления ИТ-сервисов требуемого качества.

Список литературы:

1. https://ru.wikipedia.org/wiki/Википедия
2. http://www.iso27000.ru/standarty/iso-13335-mezhdunarodnye-standarty-bezopasnosti-informacionnyh-tehnologii
3. 2Компьютерные системы и сети: Учеб.пособие/ В.П.Косарев и др./Под ред. В.П.Косарева и Л.В.Еремина -М.: Финансы и статистика,

4. Устинова Г. М. Информационные системы менеджмента/ Учебное пособие. – СПб: Изд-во “ДиаСофт ЮП”, 2000. – 368 с. Информатика.
5. Базовый курс/ Симонович С. В. и др. – СПб: Питер, 2001. – 640 с. Симонович С. , Евсеев Г. ,
6. Алексеев А. Общая информатика. – М. : АСТ-Пресс
7. Управление строительными инвестиционными проектами”. Под редакцией
8. В. М. Васильева, Ю. П. Панибратова. СПб, 97.