ФУНКЦИОНАЛЬНАЯ МОДЕЛЬ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ КАК СРЕДСТВО ВНЕДРЕНИЯ СТАНДАРТОВ ЛИНЕЙКИ ISO/IEC 2700X (BS 7799) Н.В. Андреева Научный руководитель - к.т.н., доцент А.В. Любимов
В статье представлено краткое описание линейки стандартов British Standards Institute в области управления информационной безопасностью, обоснование выбора одного из стандартов в качестве основного (ведущего), актуальность и необходимость формального моделирования системы управления информационной безопасностью (СУИБ) по требованиям выбранного стандарта, а также дан краткий обзор базовых параметров функциональной модели СУИБ.
Введение
На данный момент в условиях постоянного усложнения информационных систем, а также расширения сферы их использования уже почти невозможно обойтись одноразовым построением системы информационной безопасности - без обучения персонала, анализа меняющихся рисков и учета других важных факторов она будет малоэффективна. Таким образом, кроме построения системы информационной безопасности, в организации необходимо также создать систему управления информационной безопасностью, которая будет являться частью общей, интегрированной системы управления организацией (Integrated Management Systems, IMS).
Линейка стандартов в области управления информационной безопасностью изначально была разработана BSI (British Standards Institute, Британский Институт Стандартов), после чего данные стандарты прошли адаптацию в ISO (International Standards Organization, Международная Организация по Стандартизации), получив статус международных.
Построение функциональной модели СУИБ на основе требований одного из этих стандартов будет весьма полезно для продвижения и эффективного применения всей линейки.
Обзор зарубежных и российских источников не выявил разработок, подобных данной. Среди моделей, построенных на основе других стандартов в области безопасных информационных технологий, можно назвать:
• среди зарубежных - комплексную модель процесса оценки информационных технологий по Общим критериям [1];
• среди отечественных - модель Системы Менеджмента Качества по стандарту ISO 9001 [2] и формальную модель процессов оценки безопасности информационных технологий по методологии Общих критериев [3]. В обеих отечественных моделях для построения используется методика SADT в совокупности с методом DFD.
Состав линейки стандартов BSI по управлению информационной безопасностью
Большой вклад в разработку международных стандартов по управлению организацией в целом и созданию интегрированной системы управления внес Британский Институт Стандартов (British Standards Institute, BSI). В этом учреждении были разработаны стандарты-прототипы серий ISO 900x (управление качеством), 1400х (управление окружающей средой), 2000х (управление IT-сервисами) и, конечно, 2700х (управление информационной безопасностью), которые были приняты на основе аналогичных стандартов линейки BS 7799.
Стандарт ББ 7799 был утвержден в качестве государственного стандарта Великобритании и, в конце концов, получил общемировую известность. На данный момент он состоит из трех частей, каждая из которых была принята в качестве самостоятельного стандарта (таблица) [4].
Стандарт BSI Соответствующий стандарт ISO/IEC
Индекс Название Год при- Индекс Название Год принятия
нятия
7799-1 Code of Practice for Information Security Management 1995 17799 (27GG2) Information technology -Code of practice for information security management 2GGG, 2GG5 (запланирован на 2GG7)
7799-2 Information Security management - Specification for ISMS 1999 27GG1 Information technology -Security techniques - Information security management systems - Requirements 2GG5
7799-3 Information security management systems. Guidelines for information security risk management 2GG6 27GG5 - Запланирован на 2GG7
Таблица. Линейка стандартов BS 7799 (ISO/IEC 2700x)
Стандарт ББ 7799-1 (Практические правила управления информационной безопасностью) был разработан в качестве практических рекомендаций по организации системы управления информационной безопасностью в любой (независимо от типа) компании.
Вторая часть - ББ 7799-2 (Спецификация системы управления информационной безопасностью) - определяет спецификацию СУИБ, включая обязательные требования к ее созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и улучшению, необходимые для сертификации.
ББ 7799-3 (Руководство по управлению рисками информационной безопасности). предназначен для определения основных факторов риска и подходов к его оценке и обработке.
Специалисты считают, что ББ 7799 не является техническим стандартом, но зато дает компании инструмент, позволяющий управлять конфиденциальностью, целостностью и сохранностью важного актива компании - информацией, и, к тому же, может использоваться для защиты любых видов информации, включая финансовую информацию, кадровую информацию, информацию по поставщикам, любые другие данные компании и, что немаловажно, информацию, принадлежащую партнерам / клиентам организации [4]. Стандарт намеренно разрабатывался именно таким - предназначенным для любых видов организаций и внешних окружений документом по управлению информационной безопасностью, а не каталогом ИТ продуктов [5].
Конечной практической целью рассмотренной линейки стандартов является построение СУИБ в конкретных организациях. Из трех рассмотренных стандартов всесторонне этот процесс представлен в стандарте ББ 7799-2 (КОЛЕС 27001), в нем полностью описан требуемый результат, и именно на соответствие его требованием проводится сертификация СУИБ.
Стандарт ББ 7799-3 (КОЛЕС 27005) выпущен недавно и еще не успел приобрести подобной популярности, к тому же в нем рассматривается только система управления
рисками, а не вся СУИБ. Первая же часть стандарта BS 7799 (ISO/IEC 17799) является, по сути, лишь сборником практических рекомендаций, помогающим определить для себя принципы построения СУИБ и представить в общем, чем должна обладать организация для эффективного управления информационной безопасностью.
Однако при практическом подходе к построению СУИБ в организации ее функционирования использование только текста стандарта BS ISO/IEC 27001:2005 является неудобным из-за отсутствия наглядности. С другой стороны, данный стандарт является средством регламентации всей деятельности по управлению информационной безопасностью организации, а существующие методы и средства системного анализа позволяют представить функциональную структуру любой регламентированной деятельности в формализованной графической форме, являющейся при этом весьма сжатой и наглядной.
Таким образом, использование функциональной модели СУИБ позволяет наглядно представить СУИБ в контексте общей системы управления организацией, с установленными логическими связями между всеми составляющими.
Актуальность формального моделирования СУИБ
Под моделированием подразумевается метод исследования объектов различной природы на их аналогах (моделях) для определения или уточнения характеристик существующих или вновь конструируемых объектов [6]. Моделирование различных информационных систем и систем управления в настоящее время очень популярно, поскольку позволяет организовать эффективное управления за счет обеспечения оптимальной связи бизнеса и информационных технологий.
Функциональное моделирование СУИБ организации необходимо для наглядного представления ее в целом, в контексте общей системы управления организацией - с установленными логическими связями между всеми составляющими. Данную модель можно использовать также для проектирования, разработки и сопровождения программного обеспечения поддержки деятельности по управлению информационной безопасностью организации. Она будет полезна для обучения сотрудников организации, установления их ролей в части управления информационной безопасностью и разработки должностных инструкций. Отдельно хотелось бы отметить, что функциональная модель СУИБ поможет получить представление о том, что необходимо для прохождения сертификации по данному стандарту.
Сертификация СУИБ на соответствие требованиям BS ISO/IEC 27001 в настоящее время является достаточно популярной - как в мире в целом, так и в России, в частности - поскольку посредством нее организация дает возможность своим внешним партнерам, инвесторам и клиентам убедиться в том, что подсистема информационной безопасности построена правильно и функционирует эффективно, что, несомненно, повышает конкурентоспособность компании [4]. Сертификацию СУИБ организации на соответствие требованиям BS ISO/IEC 27001:2005 имеют право проводить только организации, имеющие аккредитацию Аккредитационной службы Великобритании (United Kingdom Accreditation Service, UKAS). Соответственно, компания, прошедшая данную сертификацию, получает официальный сертификат международного образца и регистрацию в едином реестре UKAS, что гарантирует ее международное признание.
Согласно данным группы пользователей СУИБ, поддерживающей международный реестр сертификатов, по состоянию на август 2006 года в мире зарегистрировано более 2800 организаций из 66 стран, сертифицированных по ISO 27001 (BS 7799-2), в том числе и четыре российские компании. Среди сертифицированных организаций -крупнейшие ИТ-компании, организации банковской и финансовой сферы, предприятия ТЭК и телекоммуникационного сектора.
Ожидается, что количество обладателей сертификатов в России в 2007 году достигнет нескольких десятков [5]. Росту популярности сертификации по стандарту BS 7799-2 в России, скорее всего, будет способствовать и введение в действие с 1 января 2007 года ГОСТа Р ИСО/МЭК 17799-2005, а также ожидаемого принятия ГОСТа Р ИСО/МЭК 27001 [7, 8]. В связи с этим уже сейчас существует необходимость подготовки значительного числа специалистов по BS 7799 как для центров оценки и сертификации, так и для организаций-пользователей.
Объемы работ по оценке и сертификации СУИБ достаточно велики - строгая регламентация позволяет автоматизировать выполнение многих действий по построению СУИБ, а функциональные спецификации в стандартизованной электронной форме будут полезны для проектирования, разработки и сопровождения инструментальных программных средств поддержки деятельности по управлению информационной безопасностью организации [3].
Таким образом, представление базовых положений стандарта BS 7799-2 и их взаимосвязей в единой структурированной форме - в виде формальных моделей, а также разработка системы таких моделей является необходимым условием как для продвижения стандарта, так и для его эффективного применения. Начинать разработку системы моделей можно с функциональной модели - для того, чтобы определить и наглядно представить взаимосвязи между функциями (процессами) СУИБ, после чего станет возможным построение структурной (для отражения информационной структуры системы процессов) и математической моделей.
Обзор базовых параметров функциональной модели СУИБ
В современных методах формального моделирования решающее влияние на результирующую модель оказывает выбор ее базовых свойств (назначение, точка зрения, границы моделирования и т. д.), а также ее контекста и нотации. Функциональное моделирование СУИБ предлагается выполнять по хорошо себя зарекомендовавшей методике создания структурированных моделей деятельности в некоторой предметной области - SADT, которая подразумевает графическое представление блочного моделирования. Модель SADT представляет собой серию диаграмм с сопроводительной документацией, разбивающих сложный объект - систему - на составные части.
В качестве инструментального средства моделирования предлагается использовать классический инструмент функционального моделирования - продукт All Fusion Process Modeler (BPwin 4.0) компании Computer Associates. All Fusion Process Modeler поддерживает сразу три нотации моделирования: бизнес-процессов (IDEF0), потоков работ (IDEF3) и потоков данных (DFD). Для построения разработанной модели выбран стандарт DFD, одним из преимуществ которого является возможность отражения связей СУИБ организации с внешними (по отношению к моделируемой системе) заинтересованными сторонами, что необходимо для соответствия модели PDCA («Plan-Do-Check-Act» - Цикл: Создание - Внедрение и эксплуатация - Мониторинг и анализ -Поддержка и улучшение), которая используется в стандарте BS ISO/IEC 27001:2005 [9].
Базовыми понятиями методологии SADT являются цель и точка зрения моделирования, которые составляют основное свойство модели - ее назначение [10]. Основная цель моделирования - описание процессов создания и функционирования СУИБ и их взаимодействия в соответствии со стандартом BS ISO/IEC 27001:2005.
Функциональную модель целесообразно строить с точки зрения потенциального разработчика СУИБ - руководителя отдела Информационной безопасности. Она содержит представление взаимосвязанных процессов создания, внедрения, эксплуатации, мониторинга, анализа, поддержки и улучшения СУИБ. В модели СУИБ представляется полезным выполнить максимальную детализацию процессов - в соответствии с пунк-
тами и подпунктами стандарта BS ISO/IEC 27001:2005. Процессы в разработанной модели можно условно разделить на «основные», соответствующие модели PDCA, и «дополнительные», выходящие за рамки этой модели, но рассмотренные в стандарте.
Заключение
Система управления информационной безопасностью требуется во многих организациях, поскольку сама по себе разработанная система защиты информации малоэффективна без учета и анализа множества изменяющихся факторов, влияющих на нее. Стандарты в области управления информационной безопасностью были разработаны в Великобритании и затем адаптированы в ISO. Среди этих стандартов в качестве основного можно выделить BS ISO/IEC 27001:2005 поскольку именно в нем всесторонне, с описанием требуемых результатов представлен процесс организации СУИБ.
BS ISO/IEC 27001:2005 приобрел достаточную популярность, но еще не используется повсеместно. Одной из возможных причин этого (помимо малодоступности его для бесплатного ознакомления) является отсутствие наглядности при использовании текста стандарта в практических целях - для построения СУИБ в конкретной организации. Устранить этот недостаток можно с помощью разработки функциональной модели СУИБ, которая также будет полезна, например, для подготовки специалистов в области консультационного и сертификационного аудита СУИБ.
Литература
1. Prieto-Diaz, R. The Common Criteria Evaluation Process. Process Explanation, Shortcomings, and Research Opportunities. Commonwealth Information Security Center Technical Report CISC-TR-2002-03, 2002 - CISC, James Madison University, USA.
2. Любимов А.В. Модели процессов СМК по стандарту ISO 9001:2000. Препринт кафедры Распределенных вычислений и компьютерных сетей. СПб: СПбГТУ, 2004.
3. Любимов А.В. Функциональная структура общих критериев оценки безопасности информационных технологий. / Труды 9-й научно-технической конференции «Теория и технология программирования и защиты информации. Применение вычислительной техники». Санкт-Петербург, 18 мая 2005. С. 20-24.
4. Горобец Н.И. BSI и BS 7799 - Видение разработчиков. 2005. http://www.globaltrust.ru/security/Pubs/Pub10_NIG_BS7799.htm
5. Астахов А. BS 7799 - прародитель международных стандартов. // Средства защиты информации и бизнеса 2006. Аналитический обзор. - CNews Analytics online, 2006. http://www.cnews.ru/reviews/free/security2006/articles/bs/
6. Азимов Э.Л., Щукин А.И. Словарь методических терминов (теория и практика преподавания языка). СПб: Златоуст, 1999. 472 с.
7. С 1 января 2007 года вводится в действие ГОСТ Р ИСО/МЭК 17799-2005 "Информационная технология. Практические правила управления информационной безопасностью". // Пресс-релиз компании «Электронные офисные системы» от 01.12.2006. http://eos.ru/eos/244730
8. Панасенко Е. Законодательство и регулирование отрасли ИБ // Средства защиты информации и бизнеса 2006. Аналитический обзор. CNews Analytics online, 2006. http://www.cnews.ru/reviews/free/security2006/articles/legislation
9. Компания "Интерфейс Ltd.". О BPwin 4.0. 2001. http://www.interface.ru/home.asp?artId=2736.
10. Марка Д.А., МакГоуэн К. Методология структурного анализа и проектирования SADT. Электронная библиотека, 1999. http://www.interface.ru/fset.asp?Url=/case/sadt0.htm