ФУНКЦИОНАЛЬНОЕ МОДЕЛИРОВАНИЕ СИСТЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИИ ПО СЕМЕЙСТВУ СТАНДАРТОВ ISO/IEC 2700X
С. В. Шустиков, Н. В. Андреева Научный руководитель - к.т.н., доцент А. В. Любимов
В рамках настоящего исследования проведен системный анализ системы управления информационной безопасности, описанной семейством международных стандартов ISO/IEC 2700x. Для проведения анализа текста стандарта и построения функциональной модели системы использована методология SADT. Полученная модель находит применение при разработке и внедрении систем управления информационной безопасностью.
Введение
В настоящее время функционирование практически всех процессов в организации в той или иной степени зависит от наличия у сотрудников оперативного доступа к полной и достоверной информации.
Можно выделить три основных свойства информации:
• доступность - свойство быть доступной и используемой со стороны авторизованной стороны [1];
• целостность - свойство сохранения точность и полноту активов [1];
• конфиденциальность - свойство информации не быть доступной или раскрытой неавторизованными лицами, сторонами или процессами [1].
Информационной безопасностью организации является обеспечение указанных свойств информации [2]. Следует учитывать, что это не разовое мероприятие, не продукт однократной деятельности. Безопасность - это процесс [3]. Для достижения оптимального уровня защищенности информационных ресурсов организация управляет этим непрерывным процессом обеспечения доступности, целостности и конфиденциальности информации через документированную систему управляющих процессов и процедур, именуемую системой управления информационной безопасностью (СУИБ).
Принципы построения СУИБ, ее описание и требования к ней изложены в международном стандарте ISO/IEC 27001:2005 [4].
СУИБ базируется на двух основных принципах:
• циклический процессный подход, базирующийся на цикле Деминга;
• подход к защите информации на основе управления рисками.
Цикл Деминга, также известный как PDCA-цикл, представляет собой модель непрерывного улучшения качества [5], которая широко распространена в мире и описана в международном стандарте системы менеджмента качества (СМК) ISO 9001:2000 [6].
Подход к защите информации, основанный на управлении рисками обеспечивает адекватность и полноту защиты информации, так как он позволяет сконцентрировать внимание на наиболее актуальных угрозах и соизмерять стоимость внедряемых средств защиты со стоимостью защищаемой информации.
Внедрение СУИБ в организации заключается в разработке процессов, процедур и инструкций, структурированных и описанных в руководящих документах, в соответствии с требованиями международного стандарта ISO/IEC 27001:2005.
Практический опыт показывает, что для успешного внедрения СУИБ в организации весьма целесообразно использовать формальную модель основных процессов СУИБ. Для разработки и внедрения процессов в организациях в настоящее время широко применяется методология структурного анализа и проектирования SADT (Structured Analysis and Design Technique) [7]. Данная методология подразумевает построение функциональной модели процесса в виде диаграмм в нотации IDEF0, IDEF3
или DFD. В результате сравнительного анализа нотаций выбор был сделан в пользу нотации DFD.
Идея применения методов структурного моделирования для анализа стандартов была выдвинута и реализована в [8] для ISO 9001. В [9] она впервые была применена к стандарту ИБ, конкретно - к Общим Критериям. Наиболее полно она изложена в [10].
Постановка задачи
Целью настоящего исследования является построение функциональной SADT-модели СУИБ по семейству стандартов ISO/IEC 2700x.
Цель модели - наиболее точно описать процессы СУИБ в соответствии с требованиями международного стандарта ISO/IEC 27001:2005 в рамках выбранной методологии моделирования. Точка зрения на объект моделирования - СУИБ - руководителя подразделения, ответственного за обеспечение информационной безопасности организации (CISO).
Для построения функциональной модели используется программное средство построения SADT-диаграмм бизнес-процессов Computer Associates BPwin 4.0. Данное средство положительно зарекомендовало себя как инструмент для построения функциональных моделей бизнес-процессов и широко применяется организациями с этой целью [11]. Это дает дополнительные преимущества, так как само средство распространено в среде бизнес-аналитиков и его формат файла данных (.bp1) не требует дополнительной адаптации.
Методы исследования
Система управления информационной безопасностью (СУИБ) определена в международном стандарте ISO/IEC 27001:2005 как часть всеобщей системы управления, основанной на подходе анализа бизнес-рисков, необходимой для создания, внедрения, функционирования, мониторинга, пересмотра, поддержания и усовершенствования информационной безопасности. Система управления включает организационную структуру, политики, планируемые действия, обязанности и ответственность, практики, процедуры, процессы и ресурсы [2].
Здесь и далее под бизнес-процессами организации будет пониматься основная деятельность организации, независимо от ее вида. Под бизнес-рисками понимаются риски, связанные с осуществлением данной деятельности. СУИБ рассматривает риск информационной безопасности, т.е. сочетание вероятности события, влияющего на обеспечение доступности, целостности и конфиденциальности информационных активов организации, и последствий такого события.
СУИБ основана на цикле Деминга, также известном как цикл PDCA или спираль непрерывного улучшения. Цикл состоит из четырех стадий - Планруй (Plan), Делай (Do), Проверяй (Check), Улучшай (Act). Суть этих стадий заключается в следующем:
• Планируй (Plan) - планирование действий и изменений наперед, анализ и прогнозирование результатов;
• Делай (Do) - выполнение плана, принятие мер в контролируемых условиях;
• Проверяй (Check) - изучение результатов действий;
• Улучшай (Act) - принятие мер по улучшению процессов.
Планирование СУИБ - это понимание требований организации к информационной безопасности и необходимости разработки политики и целей информационной безопасности.
Внедрение и управление мерами по защите информации имеет своей целью управление рисками организации в области информационной безопасности в контексте общего управления бизнес-рисками.
Мониторинг и анализ производительности и эффективности СУИБ проводится для выявления несоответствий протекающих процессов и выполняющихся процедур заявленным в ходе разработки.
Непрерывное улучшение процессов СУИБ, основанное на объективных измерениях, необходимо для оперативного устранения несоответствий и обработки новых рисков.
Для успешного решения поставленной задачи функционального моделирования СУИБ методология моделирования должна включать следующие составляющие и обладать следующими возможностями:
• стандартизованный метод;
• в той или иной мере формализованный синтаксис (формальный язык), имеющий графическое представление;
• возможность построения и отображения иерархий с достаточно высокой степенью вложенности;
• доступный инструментарий.
Для функционального моделирования СУИБ в настоящем исследовании была выбрана популярная методология структурного анализа и проектирования SADT (Structured Analysis and Design Technique) [7], полностью удовлетворяющая поставленным требованиям и практически не имеющая конкуренции. Действительно, SADT - это методология, разработанная специально для того, чтобы облегчить описание и понимание искусственных систем, попадающих в разряд средней сложности.
С точки зрения SADT модель может быть сосредоточена либо на функциях системы, либо на ее объектах. SADT-модели, ориентированные на функции, принято называть функциональными моделями; функциональная модель представляет с требуемой степенью детализации систему функций, которые отражают свои взаимоотношения через объекты системы.
К модели SADT предъявляются следующие требования:
• модель имеет единственного субъекта;
• у модели может быть только одна точка зрения.
SADT-модель состоит из SADT-диаграмм. Диаграмма является основным рабочим элементом при создании модели. Диаграммы структурируются по принципу декомпозиции диаграммы вышележащего уровня диаграммами нижележащего уровня.
Каждая SADT-диаграмма содержит прямоугольные блоки и дуги. Блоки изображают процессы моделируемой системы. Дуги связывают блоки вместе и отображают взаимодействия и взаимосвязи между ними [7].
Диаграммы SADT-модели могут быть описаны в одной из нотаций: IDEF0, IDEF3, DFD. Что касается нотаций моделирования, допускаемых методикой SADT, то сравнительный анализ возможных кандидатов - IDEF0, IDEF3 и DFD - достаточно однозначно рекомендует последний.
Действительно, метод IDEF0 моделирования бизнес-процессов фокусируется на высокоуровневом представлении операций и на факторах, которые контролируют эти операции. Контролирующие факторы включают правила, согласно которым происходит выполнение заданий (такие как международные или государственные регулятивные нормы, или другие ограничения со стороны собственных бизнес-правил организации), а также механизмы, необходимые для выполнения заданий (включая рабочий персонал, оборудование и другие ресурсы). В рассматриваемой задаче все перечисленные контролирующие факторы очевидны, а операции, наоборот, должны представлять-
ся на весьма низком уровне - вплоть до элементов или даже шагов действий. Поэтому метод IDEF0 не является правильным выбором.
Такой же вывод (но по другим причинам) можно сделать и в отношении метода IDEF3, который фокусируется на бизнес-логике выполнения операций и на принятии решений, относящихся к выполнению определенной операции, а также на том, каким образом осуществляется синхронизация процессов. В рассматриваемой задаче эти вопросы не имеют существенного значения, в первую очередь благодаря отдельным последовательно используемым процессам цикла PDCA, которые функционируют в рамках СУИБ. В то же время метод IDEF3 практически лишен средств описания данных (документов, свидетельств, результатов действий), которые являются важнейшими компонентами процесса разработки и поддержки СУИБ.
Таким образом, наилучшим выбором в задаче функционального моделирования СУИБ является метод DFD. Он фокусируется именно на операциях обработки данных, необходимых для проведения операций или создаваемых какими-либо операциями, данных для субъектов или организаций, которые либо предоставляют, либо получают данные, и потоках данных между различными действиями, видами или подвидами действий или операциями, а также между операциями и вовлеченными хранилищами данных.
Построение функциональной модели начинается с контекстной диаграммы (A-0 в терминах SADT), после чего процессы моделируемой системы подвергаются декомпозиции до заданного уровня детализации.
Для построения функциональной модели требуется выделить структурные элементы системы - процессы и ресурсы, через которые осуществляется их взаимосвязь, пользуясь единственным источником информации о моделируемой системе - текстами международных стандартов семейства ISO/IEC 2700x, в первую очередь - текстом международного стандарта ISO/IEC 27001:2005.
Основная стратегия моделирования заключается в максимально возможном приближении модели к тексту стандарта.
Наиболее актуальным, с точки зрения информативности по элементам системы, является раздел 4.2 международного стандарта ISO/IEC 27001:2005, описывающий непосредственно процессы СУИБ.
Выделение процессов СУИБ происходит в соответствии со структурой текста стандарта:
• раздел 4.2.1 - Establish the ISMS - процесс планирования СУИБ;
• раздел 4.2.2 - Implement and operate the ISMS - процесс внедрения и управления СУИБ;
• раздел 4.2.3 - Monitor and review the ISMS - процесс мониторинга и анализа СУИБ;
• раздел 4.2.4 - Maintain and improve the ISMS - процесс сопровождения и улучшения СУИБ.
Помимо этого, были выделены еще два основных процесса, не входящих в цикл PDCA, с точки зрения стандарта ISO/IEC 27001:2005, но имеющих большое значение для СУИБ, позволяющее выделить их наравне с четырьмя основными процессами:
• процесс управления документацией СУИБ, описанный в разделе 4.3 стандарта ISO/IEC 27001:2005;
• процесс ответственности руководства организации, описанный в разделе 5 стандарта ISO/IEC 27001:2005.
С точки зрения цикла PDCA эти процессы являются вспомогательными и логично вписываются в структуру цикла. Процесс управления документацией СУИБ должен иметь связи со всеми остальными процессами СУИБ, и с этой точки зрения его логично поместить в центр «колеса Деминга», связав «спицами колеса» с каждым из четырех процессов цикла PDCA.
Процесс ответственности руководства организации демонстрирует двойственную сущность руководства организации. С точки зрения процесса руководство является функциональной частью СУИБ, выполняющей свои непосредственные обязанности в рамках СУИБ. В то же время, с точки зрения цикла РБСЛ руководство является внешней сущностью, предъявляющей свои требования к СУИБ и получающей на выходе СУИБ определенные результаты.
Ресурсы, благодаря которым осуществляется взаимосвязь процессов СУИБ, выделяются при помощи следующего алгоритма:
• в определении процесса или уточняющем тексте ищутся сказуемые, описывающие данные, используемые процессом - являющиеся его входами или выходами; эти данные являются ресурсами;
• в тексте стандарта ищутся все сведения, относящиеся к выделенной сущности; на основе анализа этих сведений строится поток данных между процессами.
Данные, полученные на выходе одного процесса, могут быть использованы на входе нескольких процессов, такая ситуация отображается на диаграмме ветвлением ресурса. Или иначе - данные, полученные на выходе нескольких процессов, могут быть составными элементами другой сущности-ресурса, используемой на входе других процессов; такая ситуация отображается на диаграмме слиянием ресурсов.
В рамках построения функциональной модели СУИБ были выделены внешние сущности, в контексте которых функционирует СУИБ. Вешние сущности являются источниками входных ресурсов для процессов СУИБ и потребителями выходных ресурсов процессов СУИБ.
В соответствии с методологией БЛБТ и выбранной нотацией построена функциональная модель, которая представляет собой иерархию БЕБ диаграмм, описывающих потоки данных между процессами. Каждая диаграмма модели получена путем детализации процесса, принадлежащего диаграмме более высокого уровня. Этот исходный процесс декомпозировался на несколько подпроцессов в соответствии с описанием данного процесса в международном стандарте 180/1БС 27001:2005. Во избежание ошибок при переводе терминов, в процессе разработки модели использовался язык оригинала международного стандарта - английский. На рисунке представлена одна из диаграмм модели - диаграмма Л0.
Рисунок. Диаграмма А0 функциональной модели СУИБ
Результаты
Графические диаграммы функциональной модели обладают рядом качеств, которые позволяют применять их в процессе построения СУИБ, а именно:
• методология БАОТ проста в понимании, и построенная с ее помощью модель дает наглядное представление всех процессов СУИБ и их взаимосвязи через ресурсы, что дает возможность использовать модель в процессе обучения специалистов;
• представление процессов СУИБ в виде диаграмм позволяет описать их с заданной степенью детализации, а также адаптировать их к условиям конкретной организации, что немаловажно в процессе создания СУИБ;
• при проведении анализа и построении модели существующей СУИБ можно использовать модель СУИБ, построенную по международному стандарту КОЛЕС 27001:2005, в качестве эталонной, что позволит легко выявить необходимые изменения для приведения существующей СУИБ в соответствие с данным международным стандартом; это позволяет применять модель для аудита СУИБ;
• модель СУИБ, построенную с использованием методологии БАОТ, можно достаточно быстро модернизировать при обновлении международного стандарта;
• функциональную модель СУИБ, построенную по международному стандарту КО/1ЕС 27001:2005, можно использовать совместно с функциональными моделями процессов, регламентированных иными руководящими документами и стандартами в области информационной безопасности, если таковые распространяются на организацию, для создания гибридной СУИБ, соответствующей нескольким стандартам, в результате чего устраняются нормативные риски.
Заключение
Рассмотрен объект моделирования - система управления информационной безопасностью организации по семейству стандартов КОЛЕС 2700х и методология построения функциональной модели - БАОТ. Доказана актуальность и новизна задачи функционального моделирования системы управления информационной безопасностью. Для построения диаграмм БАОТ-модели выбрана нотация ОБО. Рассмотрен процесс выделения структурных элементов системы - процессов, ресурсов и внешних сущностей - из источника информации о ней - текста международного стандарта КОЛЕС 27001:2005
Задача функционального моделирования системы управления информационной безопасности организации по семейству международных стандартов КОЛЕС 2700х решена, цель исследования достигнута в полном объеме.
Литература
1. КОЛЕС 13335-1:2004 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
2. КОЛЕС 27002:2005 «Информационные технологии - Методы обеспечения безопасности - Практические правила управления информационной безопасностью».
3. Шнайер Б. Секреты и ложь. Безопасность данных в цифровом мире. - СПб: Питер, 2003. - 368 с.: ил.
4. КОЛЕС 27001:2005 «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования».
5. Deming Cycle // 12manage. Management communities. Сообщетво по электронному обучению в области менеджмента. - Режим доступа: http://www.12manage.com/methods_demingcycle.html
6. ISO 9001:2000 «Системы менеджмента качества. Требования».
7. Марка Д.А., МакГоуэн К. Методология структурного анализа и проектирования SADT. - Электронная библиотека, 1999. - Режим доступа: http://www.interface.ru/fset.asp7UrWcase/sadt0.htm.
8. Любимов А.В. Модели процессов СМК по стандарту ISO 9001:2000. Препринт кафедры Распределенных вычислений и компьютерных сетей. - СПб: СПбГТУ, 2004.
9. Любимов А.В., Зайцев О.Е., Суханов А.В. Подходы к структурному моделированию основных компонентов безопасности ИТ «Общих критериев» // Труды 11-й международной конференции «Теория и технология программирования и защиты информации.» Санкт - Петербург, 18 мая 2007 г. - С. 57-60.
10. Любимов А.В. Структурное моделирование стандартов информационной безопасности // Материалы V Санкт-Петербургской межрегиональной конференции «Информационная безопасность регионов России (ИБРР-2007)», Санкт - Петербург, 2325 октября 2007 г. - С. 57-58.
11. Маклаков С.В. Моделирование бизнес-процессов с AllFusion Process Modeler (BPwin 4.1). - М.: ДИАЛОГ-МИФИ, 2004 - 240 с.