BzBook.ru

Обеспечение информационной безопасности бизнеса

4.3. Противодействие угрозам ИБ от персонала

4.3.1. Общий подход к противодействию

В предыдущих разделах мы дали общую характеристику угроз ИБ от персонала и привели некоторые модели таких угроз. В данном разделе приводятся рекомендации по организации комплексного противодействия угрозам ИБ от персонала.

Далее сформулированы некоторые тезисы относительно противодействия угрозам ИБ от персонала.

Рисков ИБ от персонала невозможно полностью избежать, поэтому организация должна выявлять, оценивать и снижать соответствующих риски, признавать и принимать остаточный риск.

Установить тотальный контроль за действиями сотрудников невозможно, поэтому защитные меры должны быть избирательными.

Любые защитные меры тратят ресурсы организации в разной форме — человеко-часах, денежных единицах, доверии в коллективе и т. д. Поэтому любая система защитных мер должна быть сбалансирована по стоимости с потерями от возможного инцидента.

Любая система защитных мер не безупречна, в этой связи необходимо проводить контрольные и оценочные мероприятия в отношении применяемых защитных мер.

Как было отмечено в первом разделе главы, природа угроз от персонала не является новой. Поэтому целесообразно применять общеизвестные и проверенные многолетней практикой методы обеспечения доверия к персоналу, основанные прежде всего на информированности организации о сотруднике (принцип «знай своего служащего»).

Работа должна проводиться не только на этапе подбора сотрудника, но и на протяжении всей его работы. Кроме того, необходимо задуматься и о том, что будет после увольнения.

Акценты в выбранном подходе к противодействию угрозам от персонала создают специфику организации (некоторые организации сосредоточены на подборе персонала, другие — на ограничениях и контроле). Скорее всего, компания, занимающаяся розничной торговлей, выберет иные приоритеты, чем исследовательская лаборатория. Более того, в разных подразделениях одной организации тоже может быть целесообразно использовать различные подходы.

Большая часть защитных мер неизбежно связана с установкой различного рода ограничений на выполнение персоналом действий при выполнении служебных обязанностей. В этом случае решается задача о достаточности предоставленных полномочий для эффективного решения сотрудником служебных задач.

Общие подходы к оценкам в ИБ, изложенные в главе 3, могут быть успешно применены и к угрозам ИБ от персонала. Однако необходимо отметить, что в случае угроз от персонала оценки не могут быть очень точными, поскольку многие факторы не наблюдаемы, а для других факторов не существует объективных способов измерения (в том числе способов, которые возможно применять регулярно), но измерения могут дать ориентировочную, верную в первом приближении картину, позволят сравнить ситуации в организации, относящиеся к разным периодам, а также ситуации в разных организационных структурах, например региональных филиалах одной организации.

Оценочную модель для угроз ИБ от персонала можно строить, исходя из предложенной выше факторной модели угроз.

4.3.2. Обеспечение осведомленности персонала в области ИБ

Персонал должен знать о ценности информационных активов организации и потенциальных опасностях, занимать активную позицию в отношении защиты активов организации, не замалчивать проблемы и инциденты, внимательно относиться к подозрительным ситуациям, не стесняться задавать вопросы и информировать ответственную службу организации при необходимости. Обеспечить такие качества социума организации очень непросто, но это позволит в разы снизить вероятность возникновения инцидента при отсутствии грубых упущения по направлениям противодействия, не связанным с обеспечением осведомленности персонала.

М. Комер, автор книги «Расследование корпоративного мошенничества» [53], утверждает: «Один из лучших способов предотвращения внутреннего мошенничества — когда добропорядочные люди задают правильные и своевременные вопросы».

Целью организации должно быть создание и поддержание в коллективе культуры безопасности, атмосферы нетерпимости к нарушениям, когда нарушения не покрываются, а афишируются, наказываются, считаются позорными проявлениями непрофессионализма.

4.3.3. Получение информации от сотрудников организации

Не углубляясь в аспекты этого способа противодействия угрозам от персонала, отметим, что использование службой ИБ организации информации от персонала организации для выявления потенциальных и фактических злоумышленников может быть весьма эффективным методом защиты. При этом большое значение имеет обеспечение анонимности обращений сотрудников.

Впрочем, массовое и неосторожное использование анонимной информации может иметь потенциальные негативные аспекты в форме нарушения атмосферы доверия в коллективе, а также принятия службой ИБ неверных решений из-за ложных сообщений.

Более подробно с данной категорией защитных мер можно ознакомиться, например, в книге А. И. Доронина «Бизнес-разведка» [54].

Выше была отмечена важность создания культуры безопасности в организации, элементом которой является формирование у сотрудников установки на выявление различных угроз для организации и на информирование ответственных лиц организации о таких угрозах.

4.3.4. Организационные аспекты

Комплексный характер проблемы и организации противодействия демонстрирует, что различные функции противодействия должны быть возложены на различные подразделения организации, компетентные в соответствующих областях, — кадровую службу, юридический отдел, топ-менеджмент и линейных менеджеров, службу информационной безопасности, подразделение экономической безопасности. Только комплексный подход позволит обеспечить максимальный контроль за проблемами ИБ, связанными с персоналом.

Общая координация противодействия угрозам ИБ от персонала может быть возложена на службу безопасности организации, как непосредственно ответственную за противодействие различным умышленным угрозам, или на одного из топ-менеджеров организации, курирующего вопросы внутренней безопасности.

4.3.5. Скрытность противодействия

Можно быть уверенным, что внутренний злоумышленник, хорошо информированный о всех возможностях системы защиты, включая слабости и ограничения, будет искать и наверняка найдет способ обхода этой защиты, использовав при необходимости свои полномочия или введя в заблуждение коллег.

Хорошей практикой необходимо считать поддержание информационной неопределенности у персонала относительно характеристик по крайней мере части применяемых защитных мер. Такая неопределенность будет производить несколько эффектов:

— недостаточно информированный злоумышленник будет остановлен с большей вероятностью;

— недостаток информации будет производить сдерживающее воздействие на неинформированного злоумышленника даже тогда, когда фактически применяемые защитные меры обладают слабостями.


Скрытность очень важна как в отношении обнаруживающих мер, так и в отношении некоторых превентивных мер. Она обеспечивает эффективность этих мер, поскольку неинформированный злоумышленник будет действовать без учета данных мер и будет обнаружен.

Следующим этапом эволюции защитных мер является сознательное введение потенциальных злоумышленников в заблуждение, в частности:

— применение ложных защитных мер (они неотличимы от реальных, однако не функционируют, их главное преимущество заключается в дешевизне при очевидном сдерживающем воздействии);

— создание ложных информационных активов для отвлечения внимания злоумышленника от реальных ценностей организации; объекты-ловушки, маркированные информационные объекты и другие средства позволяют выявить не связанный с должностными обязанностями интерес к определенным объектам, документы «не на своем месте» и другие важные факты.

4.3.6. Управление системой ролей

Цель любой организации достигается в результате скоординированных действий участников (сотрудников) этой организации. При этом сами действия обычно заранее планируются и распределяются между сотрудниками организации в виде отдельных задач (функций, обязанностей). Состав задач и их распределение между сотрудниками могут оставаться неизменными на протяжении длительного времени, а могут изменяться в силу различных причин, таких как:

— изменение целей организации;

— оптимизация деятельности организации, например, с целью снижение издержек или уменьшения операционных рисков;

— адаптация деятельности организации под новые условия внешней среды, например, под потребности клиентов или под требования регулирующих органов;

— адаптация деятельности организации под новые условия внутренней среды, например, в связи с изменением состава сотрудников организации или в связи с внедрением специализированных средств автоматизации.


Распределение задач между сотрудниками предполагает предоставление каждому из них соответствующего объема ресурсов, необходимых для выполнения задач. Предоставленные организацией сотруднику ограниченные права, разрешения на использование определенных ресурсов организации составляют его полномочия.

При этом результативное и эффективное выполнение сотрудником его задач требует, чтобы предоставленные ему полномочия соответствовали, были достаточны для выполнения этих задач. Недостаточный объем полномочий у сотрудника организации ставит под угрозу достижение намеченных целей, что для организации недопустимо. В этой связи в большинстве компаний можно наблюдать ситуацию, когда объем предоставленных сотруднику полномочий несколько превышает объем, достаточный для выполнения его задач. Отметим, что такая ситуация в большинстве случаев неизбежна, поскольку:

— всегда существует неопределенность относительно того, какие действия потребуются от сотрудника для выполнения его задачи, и относительно того, сколько в точности ресурсов будет необходимо для выполнения задачи;

— точная регламентация всех полномочий и их применения, а тем более исполнение регламентов весьма трудоемки для большинства организации;

— наиболее значительными полномочиями обладает менеджмент организации, который по ряду причин, в том числе объективных, не склонен ограничивать собственные полномочия.


Как следует из приведенного выше определения угроз ИБ от персонала, полномочия сотрудника в значительной мере определяют исходящие от него риски ИБ для организации. В примитивной форме эту зависимость можно описать так: чем больше объем полномочий, предоставленных сотруднику, тем больше исходящий от него риск ИБ.

В простейшем случае опасность совокупности полномочий, назначенных сотруднику, может быть охарактеризована объемом потенциальных негативных последствий для организации от возможного использования этих полномочий против интересов организации. В более сложных случаях необходимо учитывать, что нападения инсайдеров различных профессий (наделенных различными типами полномочий) существенно отличаются друг от друга, в том числе по характеру и объему негативных последствий для организации [55].

Задача сравнения опасности различных полномочий (например, бухгалтера, системного администратора и начальника производственного участка), по-видимому, не может быть решена иначе, как путем обобщения мнений компетентных лиц, экспертов. Каждая организация вправе выбрать способ сравнения «под себя», заложив в него собственный опыт и представления об угрозах ИБ от персонала.

Следует отметить, что распределение полномочий между сотрудниками обычно неравномерно (в смысле опасности) в силу различных причин — характера решаемых сотрудниками задач, их навыков, возможной оперативной необходимости или даже в результате случайного стечения обстоятельств. Некоторые сотрудники получают на время или постоянно вместе с обязанностями значительный объем полномочий, существенно превосходящий (по опасности) полномочия других сотрудников организации. Такую ситуацию — наличие в организации сотрудника, нецелевое использование полномочий которого может вызвать неприемлемые для организации негативные последствия, — будем называть концентрацией полномочий. Понятно, что для организации желательно, чтобы концентрация полномочий была исключена или по крайней мере количество «опасных» в этом смысле сотрудников было минимальным. В случаях, когда исключить концентрацию полномочий невозможно, целесообразно воздействие организации на другие факторы риска из числа перечисленных в подразделе 4.2.3, например, на факторы, связанные с контролируемостью соответствующих полномочий, или на факторы, связанные с мотивационной сферой соответствующих сотрудников.

Очевидный способ уменьшения связанного с концентрацией полномочий риска ИБ состоит в целенаправленном контроле над распределением полномочий в организации. Будем называть деятельность, реализующую такой контроль с целью предотвращения угроз ИБ от персонала, управлением системой ролей.

Можно выделить следующие способы, обычно используемые для описания распределения полномочий между сотрудниками организации:

— слабо формализованное описание, основанное на устных договоренностях или документальных соглашениях произвольной формы;

— систематизированное описание отношений с помощью организационно-функциональных схем, положений о подразделениях и должностных инструкций;

— описание процессов деятельности организации и соответствующей системы ролей сотрудников.


Перечисленные способы не способны полностью функционально заменить друг друга, и во многих организациях такие способы применяются совместно. Кроме того, все они обычно увязывают распределяемые полномочия с задачами (функциями), для решения которых такие полномочия необходимы.

Слабо формализованное описание распределения полномочий обычно характерно для небольших организаций, деятельность которых требует высокой гибкости и (или) в которых руководитель имеет возможность и считает необходимым непосредственно отдавать распоряжения и контролировать деятельность всех сотрудников.

Организационно-функциональная схема описывает общие контуры структуры организации и связывает структурные элементы организации (подразделения и должности) с различными задачами (или видами деятельности организации). Организационно-функциональная схема обычно используется в качестве справочного материала, высокоуровневого представления, которое позволяет сразу увидеть в общих чертах устройство организации (организационную структуру, распределения между подразделениями задач и полномочий). Обратная сторона такова, что формат организационно-функциональной схемы просто не позволяет охватить многие важные детали. Отметим, например, что при чтении схемы, где на одном горизонтальном уровне показаны несколько субъектов, может сложиться ложное впечатление о сопоставимости их задач и полномочий.

Основными правовыми актами, описывающими систему распределения полномочий, в большинстве организаций являются положения о подразделениях и должностные инструкции. В положении о подразделении организации обычно определяются:

— место подразделения в организационной структуре;

— цели и задачи подразделения;

— полномочия подразделения;

— структура и численность подразделения;

— ответственность подразделения.


В должностной инструкции обычно определяются:

— название должности и соответствующего подразделения;

— перечень функций сотрудника;

— обязанности и полномочия (права);

— принципы взаимоотношения с руководством, коллегами и подчиненными.


Наиболее часто в положениях о подразделениях и должностных инструкциях встречаются следующие недостатки:

— отсутствие четких формулировок, что ведет к пересечению функций различных субъектов в организации (сотрудников и подразделений);

— потеря документом актуальности, соответствия реальным отношениям и деятельности;

— несоответствие функций, полномочий и ответственности;

— неполнота перечня функций;

— ориентация функций и полномочий на текущую деятельность при игнорировании функций, связанных с развитием и совершенствованием;

— слабая формализация «горизонтального» взаимодействия между сотрудниками и подразделениями. Реальная эффективность такого взаимодействия часто зависит от того, сложились или нет личные отношения между руководителями соответствующих подразделений.


Выделение роли, как альтернативного должности способа объединения полномочий и обязанностей сотрудника изначально возникло в связи с потребностью менеджмента в снижении сложности различных задач организационного проектирования. Более конкретно: рассмотрение (при проектировании, исследовании или реинжиниринге) некоторого вида деятельности организации, которое осуществлялось отдельно от других видов деятельности той же организации, требовало отдельного рассмотрения участников этого вида деятельности. Любой сотрудник организации при решении такой задачи был интересен только с точки зрения его участия в конкретной рассматриваемой деятельности. Иначе говоря, была интересна его роль. Если учесть, что почти любой сотрудник участвует в нескольких видах деятельности организации, то понятно, что такой сотрудник выполняет сразу несколько ролей.

Таким образом, роль может быть выделена и необходима только в связи с необходимостью выделения и отдельного рассмотрения определенного вида деятельности в организации. Роль представляет собой более мелкий (по сравнению с должностью) элемент распределения обязанностей и полномочий между сотрудниками.

Правильно реализованное ролевое описание полномочий лишено некоторых недостатков должностной инструкции:

— ролевое описание более гибкое, поскольку в случае изменений требуются меньшие усилия для реорганизации системы обязанностей и полномочий сотрудников;

— система ролей с меньшей вероятностью (чем система должностных инструкций) будет содержать всевозможные пересечения, противоречия и неточности, поскольку она формируется для отдельных видов деятельности, где такие недостатки проще отследить и исключить;

— ролевая система дает больше возможностей точно описать горизонтальные взаимодействия между сотрудниками.


С точки зрения минимизации концентрации полномочий для предотвращения угроз ИБ от персонала ролевое описание полномочий можно считать наиболее подходящим, поскольку оно:

— дает более детальное описание полномочий, чем другие способы;

— более четко, чем другие способы, отражает соответствие полномочий и ситуаций, в которых разрешено их применение;

— позволяет быстро формировать и оценивать различные сочетания полномочий сотрудников.


Описанная выше задача распределения полномочий с целью минимизации их концентрации наиболее эффективно решается посредством формирования и структуризации системы ролей в организации.

При распределении полномочий на основе системы ролей концентрация полномочий может возникнуть в результате двух ситуаций (см. рис. 68):

— недопустимого (опасного) совмещения функций в одной роли;

— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Состав функций, совмещение которых следует считать недопустимой концентрацией полномочий, должен быть определен организацией, исходя из собственных потребностей и практики. В качестве примера требований к формированию ролей и их назначению можно привести положения стандарта Банка России СТО БР ИББС-1.0-2008 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» [26] и положения Банка России № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» [56]. Например, в соответствии с пунктом 7.2.3 стандарта Банка России СТО БР ИББС-1.0-2008 с целью снижения рисков нарушения ИБ не рекомендуется совмещение следующих ролей одним сотрудником:

— разработки и сопровождения системы/ПО;

— разработки и эксплуатации системы/ПО;

— сопровождения и эксплуатации системы/ПО;

— администратора системы и администратора ИБ;

— выполнения операций в системе и контроля их выполнения.


В соответствии с положением Банка России № 242-П не рекомендуется назначение одному и тому же подразделению и (или) служащему функций, связанных с:

— совершением банковских операций и других сделок и осуществлением их регистрации и (или) отражением в учете;

— выдачей санкций на выплату денежных средств и осуществлением (совершением) их фактической выплаты;

— проведением операций по счетам клиентов организации и счетам, отражающим собственную финансово-хозяйственную деятельность организации;

— предоставлением консультационных и информационных услуг клиентам организации и совершением операции с теми же клиентами;

— оценкой достоверности и полноты документов, представляемых при выдаче кредита, и осуществлением мониторинга финансового состояния заемщика;

— совершением действий в любых других областях, где может возникнуть конфликт интересов.


В общем виде деятельность по управлению системой ролей в организации (в целях уменьшения рисков ИБ) состоит в последовательном решении следующих задач (см. рис. 69):

— идентификация системы ролей;

— оценка системы ролей;

— оптимизация системы ролей.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

При решении перечисленных задач удобно использовать матричные модели распределения полномочий. Один из возможных форматов матричной модели представлен на рис. 70.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Из рис. 70 видно, что для построения матричной модели должен быть определен состав параметров модели и их значений, а также определен состав параметров отражаемых на пересечении строк и столбцов матричной модели (анализируемые параметры). При этом состав указанных параметров зависит от назначения матричной модели и от состава решаемых задач.

На первом этапе, при идентификации системы ролей, за основу для построения матричной модели целесообразно принимать систему распределения задач и полномочий, описанную действующими в организации должностными инструкциями, положениями о структурных подразделениях и другими документами (регламентами, распоряжениями о предоставлении полномочий и др.). Возможный вид матричной модели показан на рис. 71.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Для формирования такой матричной модели необходимо наличие хотя бы простой модели деятельности организации, в которой выделены собственно виды деятельности организации, например в виде процессов (идеи процессного представления деятельности кратко рассмотрены в главе 2), и выделены функции — структурные элементы видов деятельности (для процессного формата описания деятельности — процедуры).

Необходимые для формирования матричной модели элементы организационно-штатной структуры и связи между ними могут быть восстановлены по нормативным и организационно-распорядительным документам организации. Целесообразно также проведение опроса некоторых сотрудников организации с целью проверки актуальности восстановленных данных и их дополнения не отраженными документально отношениями.

Следующий шаг идентификации системы ролей состоит в отражении в матричной модели участия сотрудников в выполнении функций. Если сотрудник организации участвует в выполнении некоторой функции, то в соответствующей ячейке матрицы делается отметка, например «х». Состав допустимых отметок должен быть установлен, например, так:

— В — выполняет;

— К — контролирует;

— О — отвечает;

— И — информируется о результатах;

— С — согласовывает решения и (или) консультирует.


На основании заполненной матрицы осуществляется выделение ролей в соответствии с некоторыми заранее установленными правилами, например:

— роли идентифицируются отдельно для каждого вида деятельности, т. е. не должно быть ролей, входящих одновременно в более чем один вид деятельности;

— если за разными сотрудниками закреплена одна и та же группа функций в рамках одного вида деятельности, то такая группа функций идентифицируется как роль;

— если за одним или несколькими сотрудниками организации закреплена группа функций, отличающаяся от функций других сотрудников в рамках того же вида деятельности, то указанная группа функций идентифицируется как роль.


В результате описанной деятельности будет сформирован перечень ролей, а содержание ролей (обязанности и полномочия) может быть описано в терминах соответствующих видов деятельности организации.

Полученный результат не только позволит перейти к следующему этапу — оценке системы ролей с точки зрения ИБ, но и даст возможность руководству организации по-новому взглянуть на существующее в организации и закрепленное в ее нормативной базе распределение обязанностей и полномочий.

Оценка ролей в организации фактически заключается в выявлении ситуаций концентрации полномочий двух типов:

— недопустимого (опасного) совмещения функций в одной роли;

— недопустимого (опасного) совмещения функций, которые относятся к разным ролям, но роли назначены одному исполнителю.


Эти две задачи решаются сходным способом. Поэтому деятельность по оценке ролей покажем на примере решения первой задачи.

Для осуществления оценки системы ролей с целью выявления в них недопустимого совмещения функций используется матричная модель распределения функций между ролями, пример которой приведен на рис. 72.

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Такая матричная модель распределения функций между ролями отражает состав функций закрепленных за ними. Формирование матричной модели распределения функций между ролями осуществляется на основании перечня ролей организации, который был сформирован на предыдущем этапе — идентификации ролей.

Анализ матричной модели распределения функций между ролями выполняется с целью выявления недопустимого совмещения функций в ролях, а его результатом является перечень ролей, в которых обнаружено недопустимое совмещение функций, и перечень собственно пар совмещенных функций.

После того как определена принадлежность функции, в матричной модели рядом с отметкой «х» ставится отметка в виде условного обозначения соответствующей функций недопустимой для совмещения, как представлено на рис. 72. Для удобства заполнения матричной модели и ее дальнейшего анализа рекомендуется использовать различные условные обозначения для групп функций недопустимых для совмещения, например:

— функции, связанные с разработкой программных средств, — Р;

— функции, связанные с сопровождением программных средств, — С;

— функции, связанные с эксплуатацией программных средств, — Э.


Недопустимым для совмещения функции могут быть обнаружены поиском в столбцах матрицы (выделено пунктирным контуром на рис. 72).

Выявление недопустимого совмещения ролей при назначении одному сотруднику выполняется аналогичным образом. В ходе деятельности по оценке ролей организации в качестве рабочих материалов формируются две матричные модели (модель распределения функций между ролями и модель распределения ролей между сотрудниками), а также следующие перечни:

— перечень ролей, в которых выявлено недопустимое совмещение функций;

— перечень сотрудников организации, которым назначены недопустимые для совмещения роли.


Оптимизация системы ролей организации проводится путем внесения изменений по двум направлениям:

— перераспределение функций между ролями с целью устранения недопустимого совмещения функций в отдельных ролях;

— перераспределение ролей между сотрудниками организации с целью устранения недопустимого совмещения ролей сотрудниками.


Оптимизация системы ролей проводится на основе результатов оценки системы ролей в организации.

Перераспределение функций между ролями может быть выполнено путем применения необходимых сочетаний следующих операций:

— удаление функции из роли;

— перемещение функции между ролями;

— создание новых ролей для перемещения в них функции.


При перераспределении функций между ролями целесообразно использовать матричные модели, полученные в ходе оценке системы ролей (см. пример на рис. 73).

Обеспечение информационной безопасности бизнеса 4.3.6. Управление системой ролей.

Для перераспределения ролей между сотрудниками организации (переназначение ролей) с целью устранения недопустимого совмещения ролей сотрудниками организации могут быть использованы сочетания аналогичных приемов:

— сотрудник может быть освобожден от исполнения одной из ранее назначенных ему ролей;

— сотруднику может быть назначена некоторая роль в дополнение к уже выполняемым им ролям;

— может потребоваться прием на работу нового сотрудника и назначение ему роли, которая не может быть назначена имеющимся сотрудникам из-за концентрации полномочий.


По результатам перераспределения функций внутри ролей и (или) перераспределения ролей между сотрудниками организации формируются обновленные матричные модели. На их основе может быть актуализирована правовая база организации (ролевые инструкции, регламенты, должностные инструкции, описания видов деятельности) и изменена собственно технология деятельности.

Отметим, что при различных изменениях в организации, таких как изменение состава видов деятельности или увольнение/прием на работу сотрудников, система ролей должна переоцениваться с точки зрения концентрации полномочий, а по результатам оценки должны приниматься меры по оптимизации системы ролей.

Отметим, что возможными препятствиями для деятельности по управлению системой ролями могут стать:

— невозможность собрать ту или иную информацию, необходимую для управления системой ролей (в частности, невозможность сформировать достаточно детальное описание видов деятельности, невозможность сформировать достаточно детальное описание распределения полномочий, невозможность сформировать суждения относительно опасности различных сочетаний полномочий);

— противоречие между предложениями информационной безопасности относительно необходимости перераспределения ролей и представлениями бизнеса относительно эффективной организации труда;

— инерционность организации при осуществлении оптимизации системы ролей, включая следующие:

— сопротивление персонала (в качестве мотивов вероятны борьба за сохранение концентрации полномочий, борьба за сохранение бесконтрольности, а также сопротивление изменениям как потенциальной опасности);

— необходимость модернизации технологической среды, например используемых прикладных программных средств;

— негативное влияние изменений на эффективность деятельности организации, поскольку отдельные функции перейдут к новому, возможно, недостаточно опытному в этой сфере исполнителю, в связи с чем качество их выполнения может пострадать. Новому исполнителю потребуется время на то, чтобы установить контакты, необходимые для выполнения функций.


Управление системой ролей наиболее целесообразно применять в основном в тех видах деятельности организации, где рабочий процесс является неизменным в течение достаточно продолжительного времени, что позволяет однократно уделить время грамотному выделению и распределению ролей и пользоваться его результатами продолжительное время.

4.3.7. Программно-технические средства защиты от утечек информации

Как было отмечено выше, одной из серьезных угроз от персонала является угроза утечки служебной информации. Подобные инциденты часто на слуху из-за широкого круга затронутых лиц. Утечки конфиденциальной информации облегчаются существованием многочисленных каналов, доступных почти каждому сотруднику организации и связывающих корпоративные сети организаций с Интернетом (к их числу относятся месседжеры, электронная почта), распространением съемных носителей информации большого объема, легко подключаемых почти к любому компьютеру, а также распространением беспроводных сетей.

В последнее десятилетие быстро сформировался отдельный сегмент рынка соответствующих специализированных защитных мер — систем защиты от утечек, DLP. Данные средства ориентированы на выявление и блокирование ситуаций утечки конфиденциальной информации по каналам связи. Участники рынка активно продвигают такие средства под флагом «борьбы» с инсайдерами, с внутренними угрозами ИБ. При том что прогресс в развитии подобных технических средств можно оценить только положительно, необходимо помнить, что только комплексный подход (см. выше) позволит решить проблему. Угрозы от персонала не исчерпываются одними лишь утечками, другие угрозы являются не менее опасными и редкими. В то же время фактически происходящие утечки информации не ограничены каналами, контролируемыми посредством защитных мер DLP (чего стоит только устно передаваемая служебная информация), а эффективное применение DLP требует серьезных организационных политик в области классификации информации и в области управления оборотом служебной информации.

Это лишь один из инструментов, который поодиночке не позволит решить задачу в целом. Кроме того, такие средства требуют тщательной настройки с периодической актуализацией настроек.

4.3.8. Расследование инцидентов

Инцидент, в котором замешан сотрудник организации, для большинства организаций — чрезвычайное происшествие. Поэтому способ организации расследования сильно зависит от сложившейся корпоративной культуры организации. Но можно уверенно сказать: важно продумать заранее и зафиксировать организационные политики по расследованию таких инцидентов, включая состав и основные роли участников расследования, условия предоставления и объем чрезвычайных полномочий по получению информации при расследовании, возможные меры в отношении сотрудников, причастных к инциденту.

Расследование выявленного инцидента — информационный процесс, один из этапов реагирования на инцидент. Сбор и документирование информации об инциденте целесообразно начинать уже с момента его обнаружения, а желательно еще раньше — при выявлении предвестников инцидента.

Целями расследования обычно являются:

— восстановление хода инцидента;

— выявление участников инцидента (в том числе из числа сотрудников) и их ролей в ходе инцидента;

— сбор свидетельств и предварительная оценка степени вины сотрудников в инциденте;

— сбор юридически значимых материалов, пригодных для инициирования процедур, обеспечивающих привлечение виновных лиц к ответственности;

— выявление причин и условий инцидента, включая недостатки системы защиты организации, формирование предложений по совершенствованию системы защиты;

— сбор свидетельств и оценка негативных последствий инцидента.


Для успешного расследования крайне важно наличие механизмов регистрации действий сотрудников в расследуемой сфере деятельности.

Отметим, что определение вины сотрудника может быть весьма сложной задачей при проведении внутреннего расследования, поскольку обосновывающие умысел факты часто отсутствуют. К подобным фактам можно отнести:

— неоднократность инцидентов, связанных с сотрудником;

— подтвержденная заинтересованность сотрудника в последствиях инцидента;

— попытки сокрытия сотрудником следов своих действий, связанных с инцидентом;

— наличие следов заблаговременной подготовки сотрудника к инциденту;

— высказывания сотрудника до инцидента, свидетельствующие о его мотивах и намерениях.


Обращение к правоохранительным органам может потребоваться в случае, когда есть основания в умышленном характере инцидента; есть основания для уверенности во внешней поддержке злоумышленника, причинен или мог быть причинен существенный ущерб организации или третьим лицам.

Техническая сторона действий внутреннего злоумышленника зачастую настолько выражена в инцидентах ИБ, что для проведения внутреннего расследования может потребоваться использование специализированных программных средств, позволяющих получить необходимые свидетельства с устройств хранения и обработки информации, принадлежащих организации.

Отметим, что любое внутреннее расследование, пусть и без привлечения правоохранительных органов, — всегда стресс для коллектива. Среди возможных негативных последствий для организации: наказание невиновных, напряженность в коллективе, отвлечение сотрудников от работы и др.

4.3.9. Раскрытие информации об инцидентах

Вопросы раскрытия информации о различных инцидентах внутри и вне организации являются весьма значимыми для большинства организаций. При этом вполне обоснованы опасения менеджмента большинства организаций относительно возможных негативных последствий от раскрытия информации.

Такие негативные последствия могут наступить в форме реакции рынка — снижения капитализации компании, реакции акционеров по отношению к менеджменту организации, реакции клиентов и партнеров в форме изменения решений по совместной работе, реакции регуляторов в форме повышения планки различных требований (например, требований по резервированию капитала или обеспечения защиты от различных угроз) и проведения внеплановых проверок, а также конкурентов в форме осуществления черного пиара. Поток негатива о компании может сильно повлиять на ее имидж на рынке и на выполнение бизнес-планов даже в условиях небольших прямых потерь от собственно инцидентов.

Между тем раскрытие информации может оказаться необходимым организации для применения санкций в отношении злоумышленника и его сообщников, организации возврата материальных и других активов, обеспечения осведомленности персонала, выполнения законных требований регулирующих органов и собственников компании, а также выполнения соглашений с партнерами и клиентами.

Кроме того, позиция полного сокрытия информации об инцидентах может оказаться неприемлемой, поскольку информация так или иначе (очень вероятно, что в искаженной форме) все равно будет просачиваться к ее потенциальным потребителям. Сплетни и слухи, оставаясь без официальных комментариев организации, будут формировать ее имидж как скрытного и потенциально ненадежного партнера, риски работы с которым неприемлемо высоки. Естественно, что происшествия различного рода случаются в любой организации, и утверждения о полном их отсутствии вызовут улыбку у любого специалиста или руководителя.

Приведенные аргументы убеждают, что организациям необходимо тщательно прорабатывать вопросы информационной политики в части дозирования выдаваемой во внешний мир информации по инцидентам, определения способа подачи такой информации, выбора момента подачи информации, определения состава первых ретрансляторов информации (СМИ, ресурсов Интернет и др.), а также по выбору ответственных за внутреннюю и внешнюю информационную политику сотрудников компании.

Хорошей практикой является индивидуальное информирование собственников, партнеров и клиентов по крупным инцидентам, затрагивающим их интересы.

Приложение 1 Архитектура стандартов защиты информации и обеспечения информационной безопасности

Общие сведения.

Стандарты по защите информации и обеспечения информационной безопасности, используемые в российских организациях, имеют различное происхождение, различия и общности в объектах и аспектах стандартизации.

Если рассматривать чисто российские документы, то такие стандарты носят, как правило, форму требований технического характера преимущественно к компонентам технологической среды или справочного назначения, например ГОСТ Р 51275 («Факторы, воздействующие на информацию. Общие положения»). В редких случаях российские национальные стандарты являются основанием для соответствующих систем сертификации, такие как стандарты на алгоритмы криптографических преобразований (ГОСТ Р 34.10, ГОСТ Р 34.11, ГОСТ 28147).

Если термин «защита информации» («техническая защита информации») исторически используется в РФ и нормативно закреплен руководящими документами от 1992 г. Гостехкомиссии при Президенте РФ (Федеральная служба по техническому и экспортному контролю), то термин «информационная безопасность» (information security) чаще ассоциируется с положениями зарубежных (гармонизированных в РФ) стандартов. В то же время методологически все эти понятия имеют в основе одну и ту же модель, оформившуюся в середине 1980-х гг. («оранжевая» книга США, аналогичные документы Германии, Великобритании и других стран) и получившую различное развитие на уровне отдельных стран и международном уровне.

Практически до 1990-х гг. устоявшегося однозначного понятийного аппарата для предметной области безопасности в сфере информатики (информации) не существовало. На практике использовали различные термины и их определения, зачастую относящиеся к одному и тому же объекту. В зарубежных документах (стандартах и руководствах) широко использовали такие понятия, как data protection, data safety, data security, information security, IT security и др. В России тех времен все это воспроизводилось полностью и дополнялось национальным колоритом.

Разнообразие подходов и определений в пределах одной и той же области не в последнюю очередь послужило причиной учреждения в рамках международных организаций соответствующих специализированных профессиональных структур, целью деятельности которых являлась выработка единых, согласованных позиций и подходов в сфере безопасности применительно к информатике и информационным технологиям. Например, в 1989 г. в рамках совместного ИСО и МЭК технического комитета 1 (СТК 1) «Информационные технологии» был образован профильный орган (подкомитет) № 27 «Методы и средства обеспечения безопасности». Первоочередной задачей данного подкомитета являлась выработка основополагающих международных стандартов и руководств по базовым технологиям обеспечения безопасности при применении электронных информационных технологий. До этого стандарты, относящиеся к вопросам безопасности, издавались по мере необходимости самыми различными органами (подкомитетами ИСО), например, в рамках стандартизации протоколов и технологий взаимодействия открытых систем, служб и стандартов телекоммуникаций (МККТТ, позже — МСЭ-Т), стандартов Интернет и т. п. Применительно к 27-му подкомитету СТК 1 ИСО/МЭК абсолютно логично началом работ послужили вопросы стандартизации использования криптографических алгоритмов (конек спецов по безопасности информации предшествующих десятилетий) и выработки решений по противодействию внешним и внутренним злоумышленникам (обнаружение вторжений, основные угрозы, уязвимости и контрмеры, методы менеджмента безопасности информационных технологий и т. п.).

Позже (в 1993 г.) в рамках работ 27-го подкомитета СТК 1 ИСО/МЭК было открыто новое направление, преследующее целью формирование основы глобальному рынку средств безопасности ИТ, в связи с чем была образована соответствующая рабочая группа в структуре подкомитета.

В основу глобального рынка средств безопасности ИТ планировалось заложить подход, нашедший отражение в системе документов, известных как «Общие критерии» (Common criteria). Эта спецификация формально спонсируемая сообществом стран — издательским советом спонсоров технологии, а по сути профильными государственными организациями США. В рамках ИСО данная методология была оформлена серией стандартов, первыми из которых были:

— ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий» (в трех частях, свыше 600 страниц спецификаций и требований);

— ИСО/МЭК 18045 «Методология оценки безопасности информационных технологий» (почти 300 страниц требований к действиям оценщика — испытательной лаборатории).

Состояние дел на момент издания первой редакции ИСО/МЭК 15408 в 1999 г. и этапы формирования данного документа иллюстрирует рис. 1.

Обеспечение информационной безопасности бизнеса Приложение 1.  Архитектура стандартов защиты информации и обеспечения информационной безопасности. Общие сведения

Указанные работы сопровождались выработкой платформы международного признания результатов оценки соответствия и сертификации, поддерживаемые соответствующими межправительственными соглашениями. Инициаторами анонсировались удовлетворяющие различным отраслям решения, что, однако, не всегда подтверждалось практикой.

Например, банковское сообщество в начале 2000-х гг. инициировало проект по выработке рекомендаций банковскому сообществу относительно порядка возможного использования подхода «Общих критериев» в своей деятельности. Данные работы стартовали под индексом ISO TR 24590 «Banking-protection profiles for the financial industry» («Банковские профили защиты для финансовой отрасли»), но были прекращены на стадии работ в рамках комитета по причине отсутствия перспектив практической целесообразности. «Виной» тому (хотя этот термин не совсем уместен) была невозможность сохранения действия сертификатов по безопасности при реконфигурации сертифицированных изделий ИТ при их использовании в среде организации за пределами той конфигурации, что использовалась при сертификационных испытаниях. Потеря действия сертификата приводила к утрате гарантий органа сертификации (реальных гарантий, поддержанных финансовыми обязательствами), что сводило на нет все преимущества такой сертификации.

Одновременно с этим в России в начале 2000-х гг. параллельно и где-то согласованно, но в различных целях, велись работы по анализу и оценке возможности практического использования подхода «Общих критериев» в рамках развития национальной системы сертификации средств защиты информации и совершенствования систем безопасности в организациях отраслевой принадлежности. Результат был диаметрально противоположным.

По линии развития национальной системы сертификации по требованиям защиты информации подход «Общих критериев» был взят на вооружения (но без присоединения к международному соглашению о признании сертификатов), что виделось как значимый положительный шаг развития существовавших норм и критериев сертификации по требованиям защиты информации.

В части же совершенствования систем безопасности в организациях отраслевой принадлежности (организации банковской системы Российской Федерации) вердикт был аналогичен тому, что был вынесен в рамках международных дискуссий.

Однако подход «Общих критериев» более десятилетия был в центре внимания специалистов по безопасности информации во всех странах мира, рассматривающих его как полезный и прагматичный, потенциально позволяющий решить множество задач обеспечения ИБ организаций. В результате был принят комплекс соответствующих международных стандартов (как уже отмеченных, так и других). Ряд из них был гармонизирован в системе «ГОСТ Р» (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р ИСО/МЭК 18045, ГОСТ Р ИСО/МЭК 15446 и др.).

Неудовлетворенность в ожиданиях по результатам исследований и анализ практики использования подхода «Общих критериев», а также все возрастающие потребности в поиске платформы конструктивного взаимодействия безопасности и бизнеса, сместили акценты в срез управленческих задач обеспечения безопасности.

Со временем данные задачи получили свое воплощение в семействе стандартов менеджмента информационной безопасности, требования которых предназначены для охвата всего множество задач обеспечения ИБ организаций. Основные положения и цели стандартов данного семейства были рассмотрены в соответствующих главах настоящего издания. На данной платформе стала возможна выработка качественно новых востребованных решений по унификации и стандартизации аспектов информационной безопасности в прикладных сферах как в стандартизированных процессах информатизации деятельности компаний, так и в специфичных областях бизнеса.

Как итог понимания в принципах организации работ, сбалансированности структуры объектов и аспектов стандартизации сформировалась сбалансированная архитектура системы международных стандартов обеспечения информационной безопасности бизнеса, технологий, целей деятельности. Она дает инструменты разрешения задач обеспечения информационной безопасности организации как на уровне корпоративного управления, так и технического взаимодействия внутри организации и вовне ее, с ее клиентами и партнерами, органами регулирования и надзора.

В Российской Федерации национальные (до 2003 г. — государственные) стандарты по защите информации (информационной безопасности) издавались преимущественно под эгидой Технического комитета № 362 «Защита информации» и Технического комитета № 22 «Информационные технологии» национального органа по стандартизации, где с конца 1990-х гг. активизировались работы по гармонизации международных стандартов. Ряд стандартов прошел совместно. Например, гармонизированный ГОСТ Р ИСО/МЭК 15408 внесен на утверждение Гостехкомиссией России, Техническими комитетами по стандартизации ТК З62Р «Защита информации» и ТК 22 «Информационные технологии». В числе других гармонизированных в России международных стандартов можно отметить ГОСТ Р ИСО/МЭК 27001, ГОСТ Р ИСО/МЭК 17999, ГОСТ Р ИСО/МЭК ТО 18044 и др.

Что касается гармонизации в Российской Федерации международных стандартов по обеспечению информационной безопасности, то их количество пока невелико. Если по линии 27-го подкомитета СТК 1 ИСО/МЭК разработано и развивается свыше 100 международных стандартов (технических отчетов — «предстандартов»), то в Российской системе документов по стандартизации на начало 2010 г. их было не более двух десятков (защита информации и информационная безопасность), включая как исключительно российские, так и гармонизированные международные.

В то же время следует отметить, что наряду с пониманием необходимости изучения зарубежного опыта, а также исходя из потребности решения практических задач процесс гармонизации в России западных стандартов будет неуклонно расширяться.

Рис. 2 иллюстрирует сформировавшуюся на международном уровне обобщенную архитектуру стандартов обеспечения информационной безопасности организации.

Обеспечение информационной безопасности бизнеса Приложение 1.  Архитектура стандартов защиты информации и обеспечения информационной безопасности. Общие сведения

К категории I («Менеджмент ИБ» на рис. 2) можно отнести как стандарты семейства менеджмента ИБ ISO/IEC 270ХХ (семейство стандартов СМИБ организации), так и комплекс новых стандартов направления Identity management and privacy technologies (менеджмент идентификационными атрибутами и безопасность личности в электронном мире).

Среди российских национальных стандартов к данной категории можно отнести только гармонизированные международные.

К категории II («Процедуры и процессы (меры и средства контроля и управления) ИБ» на рис. 1.2) можно отнести стандарты для следующих объектов и аспектов стандартизации:

— менеджмент инцидентов информационной безопасности;

— безопасность сетей информационных технологий;

— обнаружение вторжений, выбор и поставка систем обнаружения вторжений;

— управление и пользование услугами третьей доверенной стороны;

— восстановление информационных технологий после бедствий и аварий и т. п.


Среди российских национальных стандартов к данной категории можно отнести ГОСТ Р 50922, ГОСТ Р 51275 и др.

К категории III («Технические средства и инструменты защиты информации и информационной безопасности» на рис. 1.2) можно отнести стандарты на алгоритмы криптографических преобразований, критерии оценки безопасности информационных технологий и т. п. Среди российских национальных стандартов к данной категории можно отнести стандарты требований по защите от несанкционированного доступа к средствам вычислительной техники и автоматизированным системам, гармонизированные международные стандарты критериев оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 15408), ГОСТ Р ИСО/МЭК 18045), защиты от вредоносного программного обеспечения и т. п. Далее будут приведены сведения по ряду документов национальной и международной системам стандартизации в области защиты информации и обеспечения информационной безопасности. Эти сведения могут быть использованы в справочных целях для решения тех или иных практических задач.

Национальная система стандартизации.

Стандарты по защите информации и обеспечению информационной безопасности организации в системе национальных документов по стандартизации регистрируются в основном по следующим кодам международной классификации стандартов:

— 01.040.01 «Общие положения. Терминология. Стандартизация. Документация (Словари)»;

— 35.020 «Информационные технологии (ИТ) в целом»;

— 35.040 «Наборы знаков и кодирование информации».


В число наиболее известных действующих стандартов входят:

— ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

— ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;

— ГОСТ Р 34.11–94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;

— ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;

— ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство»;

— ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;

— ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения»;

— ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества»;

— ГОСТ Р 52448-2005 «Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения»;

— ГОСТ Р 52633.0-2006 «Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации»;

— ГОСТ Р 52863-2007 «Защита информации. Автоматизированные системы в защищенном исполнении. Испытания на устойчивость к преднамеренным силовым электромагнитным воздействиям. Общие требования»;

— ГОСТ Р 53110-2008 «Система обеспечения информационной безопасности сети связи общего пользования. Общие положения»;

— ГОСТ Р 53109-2008 «Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности»;

— ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения»;

— ГОСТ Р 53115-2008 «Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства»;

— ГОСТ Р 53113.1-2008 «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения»;

— ГОСТ Р ИСО/МЭК ТО 13335 (гармонизированный международный) «Информационная технология. Методы и средства обеспечения безопасности». Включает в себя следующие части: часть 1 «Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий»; часть 3 «Методы менеджмента безопасности информационных технологий»; часть 4 «Выбор защитных мер»; часть 5 «Руководство по менеджменту безопасности сети»;

— ГОСТ Р ИСО/ТО 13569-2007 (гармонизированный международный) Финансовые услуги. Рекомендации по информационной безопасности;

— ГОСТ Р ИСО/МЭК 15408 (гармонизированный международный) Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Включает в себя следующие части: Часть 1. Введение и общая модель; Часть 2. Функциональные требования безопасности; Часть 3. Требования доверия к безопасности;

— ГОСТ Р ИСО/МЭК ТО 15446-2008 (гармонизированный международный) «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности» ГОСТ Р ИСО/МЭК 17799-2005 (гармонизированный международный) «Информационная технология. Практические правила управления информационной безопасностью»;

— ГОСТ Р ИСО/МЭК ТО 18044-2007 (гармонизированный международный) «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;

— ГОСТ Р ИСО/МЭК 18045-2008 (гармонизированный международный) «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»;

— ГОСТ Р ИСО/МЭК 27001-2006 (гармонизированный международный) «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».

Международная система стандартизации.

Международные стандарты по защите информации и обеспечению информационной безопасности организации разрабатываются как в рамках работ 27-го подкомитета СТК 1 ISO/IEC, так и по линии других технических комитетов в плотной кооперации работ с экспертами 27-го подкомитета.

В числе стандартов, принятых в рамках планов работ 27-го подкомитета СТК 1 ISO/IEC, следует отметить такие документ, как:

— ISO/IEC 27000:2009 «Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Обзор и словарь»;

— ISO/IEC 27001:2005 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования»;

— ISO/IEC 27002:2005 «Информационные технологии. Свод правил по управлению защитой информации»;

— ISO/IEC 27003 (проект) «Руководство по реализации СМИБ»;

— ISO/IEC 27004 (проект) «Менеджмент информационной безопасности. Измерения»;

— ISO/IEC 27005:2008 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности»;

— ISO/IEC 27006:2007 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к органам, проводящим аудит и сертификацию систем менеджмента информационной безопасности»;

— ISO/IEC 27007 (проект) «Руководства по аудиту СМИБ»;

— ISO/IEC 27008 (проект) «Руководства для аудиторов по аудиту средств контроля СМИБ»;

— ISO/IEC 27010 (проект) «Менеджмент информационной безопасности для межотраслевого взаимодействия»;

— ISO/IEC 27011:2008 «Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности организаций, предлагающих телекоммуникационные услуги, на основе ISO/IEC 27002»;

— ISO/IEC 27013 (проект) «Руководство по совместному использованию стандартов ИСО/МЭК 20000-1 и ИСО/МЭК 27001»;

— ISO/IEC 27014 (проект) «Корпоративное управление информационной безопасностью»;

— ISO/IEC 27015 (проект) «Руководства по менеджменту информационной безопасности для финансового сектора и сектора страхования»;

— ISO TR 13569:2005 «Услуги финансовые. Руководящие указания по обеспечению информационной безопасности» (разработан ИСО ТК 68 «Финансовые услуги»);

— ISO/IEC 7064:2003 «Информационные технологии. Методы и средства обеспечения безопасности. Системы контрольных знаков»;

— ISO/IEC 9796 «Информационные технологии. Методы и средства обеспечения безопасности. Схемы цифровой подписи, обеспечивающие восстановление сообщений»;

— ISO/IEC 9797 «Информационные технологии. Методы и средства обеспечения безопасности. Коды аутентификации сообщений (MAC)»;

— ISO/IEC 9798 «Информационные технологии. Методы и средства обеспечения безопасности. Аутентификация объектов»;

— ISO/IEC 10116:2006 «Информационные технологии. Методы и средства обеспечения безопасности. Режимы работы для n-битовых блочных шифров»;

— ISO/IEC 10118 «Информационные технологии. Методы и средства обеспечения безопасности. Хэш-функции»;

— ISO/IEC 11770 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент ключей». Включает в себя следующие части: часть 1 «Структура»; часть 2 «Механизмы, использующие симметричные методы»; часть 3 «Механизмы, использующие асимметричные методы»; часть 4 «Механизмы, основанные на нестойких секретах»; часть 5 «Менеджмент групповых ключей»;

— ISO/IEC 13888 «Информационные технологии. Методы и средства обеспечения безопасности. Подтверждение авторства»;

— ISO/IEC 14888 «Информационные технологии. Методы и средства обеспечения безопасности. Цифровые подписи с приложением»;

— ISO/IEC 15946 «Информационные технологии. Методы и средства обеспечения безопасности. Криптографические методы на основе эллиптических кривых»;

— ISO/IEC 18014 «Информационная технология. Методы и средства обеспечения безопасности. Услуги по созданию метки даты/времени»;

— ISO/IEC 18031:2005 «Информационные технологии. Методы и средства обеспечения безопасности. Произвольное генерирование битов»;

— ISO/IEC 18032:2005 «Информационные технологии. Методы и средства обеспечения безопасности. Поколение простых чисел»;

— ISO/IEC 18033 «Информационные технологии. Методы и средства обеспечения безопасности. Алгоритмы шифрования»;

— ISO/IEC 19772:2009 «Информационные технологии. Методы и средства обеспечения безопасности. Установленные криптографические методы»;

— ISO/IEC 29150 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Шифрование подписи»;

— ISO/IEC 29192 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Облегченная криптография»;

— ISO/IEC 15292:2001 «Информационные технологии. Методы и средства обеспечения безопасности. Процедуры регистрации профилей защиты»;

— ISO/IEC 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ». Включает в себя следующие части: часть 1 «Введение и общая модель»; часть 2 «Функциональные требования безопасности»; часть 3 «Требования к обеспечению защиты»;

— ISO/IEC TR 15443-1:2005 «Информационные технологии. Методы и средства обеспечения безопасности. Структура обеспечения доверия в безопасности IT». Включает в себя следующие части: часть 1 «Обзор и структура»; часть 2 «Методы обеспечения доверия»; часть 3 «Анализ методов обеспечения доверия»;

— ISO/IEC TR 15446:2009 «Информационные технологии. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности»;

— ISO/IEC 18045:2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности ИТ»;

— ISO/IEC 19790:2006 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к защите применительно к криптографическим модулям»;

— ISO/IEC TR 19791:2006 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности эксплуатирующихся систем»;

— ISO/IEC 19792:2009 «Информационные технологии. Методы и средства обеспечения безопасности. Оценка безопасности биометрии»;

— ISO/IEC 21827:2008 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование безопасности систем. Модель зрелости процесса»;

— ISO/IEC 24759:2008 «Информационные технологии. Методы и средства обеспечения безопасности. Требования к тестированию криптографических модулей»;

— ISO/IEC 29128 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Верификация криптографических протоколов»;

— ISO/IEC 29147 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Обнаружение значимых уязвимостей»;

— ISO/IEC 29193 (проект) «Информационные технологии. Методы и средства обеспечения безопасности. Принципы и методы инжиниринга безопасности систем»;

— ISO/IEC TR 14516:2002 «Информационные технологии. Методы и средства обеспечения безопасности. Руководящие указания по использованию и управлению службами доверительной третьей стороны»;

— ISO/IEC 15816:2002 «Информационные технологии. Методы и средства обеспечения безопасности. Информационные объекты безопасности для управления доступом»;

— ISO/IEC 15945:2002 Информационные технологии. Методы и средства обеспечения безопасности. Спецификация служб ТТР для поддержки применения электронных подписей;

— ISO/IEC 18028 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационной технологии». Включает в себя следующие части: часть 1 «Менеджмент сетевой технологии»; часть 2 «Архитектура обеспечения безопасности сети»; часть 3 «Коммуникации для обеспечения безопасности между сетями с применением шлюзов безопасности»; часть 4 «Обеспечение безопасности удаленного доступа»; часть 5 «Коммуникации для обеспечения безопасности между сетями с применением виртуальных частных систем»;

— ISO/IEC 18043:2006 «Информационные технологии. Методы и средства обеспечения безопасности. Выбор, применение и операции систем обнаружения вторжения»;

— ISO/IEC TR 18044:2004 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;

— ИСО/МЭК 24762:2008 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по услугам по восстановлению информационно-коммуникационных технологий после бедствия»;

— ISO/IEC 27033 «Сетевая безопасность». Включает в себя следующие части: часть 1 «Обзор и общие понятия»; часть 2 «Руководства по разработке и внедрению сетевой безопасности»; часть 3 «Эталонные сетевые сценарии — риски, технологии разработки и вопросы управления»; часть 4 «Обеспечение безопасности межсетевых соединений с применением шлюзов безопасности — риски, технологии разработки и вопросы управления»; часть 5 «Обеспечение безопасности межсетевых коммуникаций с применением виртуальных частных сетей — риски, технологии разработки и вопросы управления»; часть 6 «Совпадение IP-адресов»; часть 7 «Беспроводные коммуникационные технологии»;

— ISO/IEC 27032 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по кибербезопасности»;

— ISO/IEC 27034 «Безопасность приложений». Включает в себя следующие части: часть 1 «Обзор и общие понятия»; часть 2 «Структура организации нормативного обеспечения»; часть 3 «Процесс менеджмента безопасности приложений»; часть 4 «Подтверждение безопасности приложений»; часть 5 «Структура данных средств управления безопасностью протоколов и приложений»;

— ISO/IEC 27035 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности»;

— ISO/IEC 27036 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по обеспечению безопасности при аутсорсинге»;

— ISO/IEC 27037 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору и /или получению и хранению свидетельств, представленных в цифровой форме»;

— ISO/IEC 24745 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Защита биометрических шаблонов»;

— ISO/IEC 24761:2009 «Информационные технологии. Методы защиты. Контекст аутентификации для применения в биометрических технологиях»;

— ISO/IEC 29100 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности»;

— ISO / IEC 29101 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Эталонная архитектура обеспечения приватности»;

— ISO/IEC 29115 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Доверие к аутентификационным атрибутам»;

— ISO/IEC 29146 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Основы менеджмента доступа»;

— ISO/IEC 29190 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Модель зрелости возможностей обеспечения приватности»;

— ISO/IEC 29191 (проект) «Информационная технология. Методы и средства обеспечения безопасности. Требования по взаимной анонимности при депонировании идентификационных атрибутов».

Приложение 2

Подходы к формированию нормативного обеспечения системы информационной безопасности организации

Комплексный подход к обеспечению ИБ, предполагающий последовательное и взвешенное использование правовых, организационных, программнотехнических и других мер обеспечения ИБ на единой концептуальной и методической основе, должен сформировать и поддержать адекватный потребностям бизнеса организации уровень ее информационной безопасности.

Согласованность, целенаправленность и планомерность деятельности по обеспечению ИБ может быть достигнута только при надлежащем нормативном закреплении (документировании) ожиданий руководства и правил осуществления деятельности в организации. Документы позволяют отразить и формализовать необходимые нормы, которые далее могут быть единообразно доведены до каждого работника организации в виде правил и требований ИБ, которыми он должен руководствоваться в своей производственной деятельности, а также порядка контроля их соблюдения.

Для того чтобы сформировать и обеспечить эффективную поддержку полноценной и непротиворечивой системы внутренних документов обеспечения ИБ организации, необходимо представлять и понимать суть возможной структуры комплекса таких документов. Например, видение Банка России относительно возможной эталонной структуры нормативного обеспечения системы ИБ организации отражено в рекомендациях в области стандартизации Банка России РС БР ИББС-2.0-2007 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0». Определенная данными рекомендациями структура нормативного обеспечения системы информационной безопасности организации банковской системы Российской Федерации приведена на рис. 1.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Такая структура документов позволяет формализовать любую необходимую деятельность на всех уровнях управления в организации. Подобная структура документов, относящихся к деятельности по обеспечению ИБ, рекомендуется и Международной группой пользователей системы менеджмента информационной безопасности (ISMS International User Group).

Представленную структуру внутренних документов обеспечения ИБ можно рекомендовать любой организации. Далее кратко остановимся на целях и назначении документов каждого из уровней предложенной структуры.

К документам первого уровня относятся документы, содержащие положения (правила, принципы, нормы) политики ИБ организации, т. е. формулировки высокоуровневого видения сути проблемы в области ИБ руководством организации и определения позиции организации в их решении. Таким образом, в политике ИБ организации, как правило, определяются высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ. Действие такого документа обычно распространяется на все подразделения и всех работников организации.

К документам второго уровня относятся документы, содержащие положения так называемых «частных» политик ИБ, т. е. документы, детализирующие положения основополагающей политики ИБ организации в отношении одной или нескольких областей ИБ, а также в отношении отдельных видов и технологий деятельности организации. Эти документы, как правило, определяют цели, назначение, состав работ (процессов деятельности), необходимых как для реализации деятельности в той или иной области ИБ, так и для реализации отдельной технологии обеспечения ИБ, а также необходимые требования в рамках реализуемой деятельности. Количество частных политик зависит от номенклатуры необходимых видов деятельности по обеспечению ИБ, определенных основополагающей политикой ИБ организации. Частные политики ИБ определяют деятельность лиц или группы лиц, ответственных за реализацию комплекса мероприятий соответствующей области ИБ.

К документам третьего уровня относятся документы, содержащие требования ИБ, применяемые к операционным процедурам (порядку выполнения действий или операций) обеспечения ИБ. Данные документы содержат правила и параметры, устанавливающие способы осуществления и выполнения конкретных видов работ в рамках процессов, связанных с ИБ технологических процессов, реализуемых в организации. Кроме того, данные виды документов могут содержать различного рода ограничения по выполнению отдельных действий, связанных с реализацией защитных мер в используемых технологических процессах (технические задания, регламенты, порядки, инструкции). В документах третьего уровня можно выделить следующие группы документов.

— Документы, регламентирующие реализацию процессов. Определяют роли, задействованные в реализации конкретных процессов, а также порядок действий исполнителя каждой роли и взаимодействие между ними. К этим документам можно отнести различного рода регламенты, порядки. Данные документы можно считать документами должностных лиц, ответственных за вверенные им участки работ по обеспечению ИБ. Введение в действие в организации таких документов позволяет упорядочить деятельность, что создает условия для ее эффективного контроля. Кроме того, к данной группе документов можно отнести документы, содержащие различного рода ограничения (требования) по выполнению отдельных действий, связанных с реализацией защитных мер в используемых технологических процессах. Такие документы, как правило, необходимы там, где затруднительно формализовать реализуемую деятельность. К этим документам можно отнести различные положения, своды правил, требования.

— Документы, определяющие порядок действий конкретного должностного лица в рамках реализации своей роли в конкретном процессе. Это уже документы исполнителей ролей в рамках процессов деятельности. К ним относятся различного рода инструкции, маршрутные карты и т. п. Кроме порядка действий исполнителя определенной роли в таком документе могут быть определены и требования, которые данное должностное лицо должно выполнять в процессе своей деятельности.


К документам четвертого уровня, относятся свидетельства выполненной деятельности по обеспечению ИБ. Данные документы отражают результаты (промежуточные и окончательные) реализации процессов деятельности. Обычно к ним относятся различные журналы (бумажные и электронные), отчеты, протоколы и т. д. Данные документы необходимы в основном для осуществления контрольной деятельности, а также для обеспечения условий для восстановления хода работ в рамках расследования и иных случаях. С точки зрения контрольных органов отсутствие подобных свидетельств, даже при наличии регламентирующих деятельность документов, может означать, что регламентированная деятельность либо реализуется произвольным образом, в том числе и с нарушениями, либо не реализуется вовсе.

Не редки случаи, когда в организациях придается слабое значение вопросам обеспечения ИБ, включая нормативное обеспечение данного направления деятельности. В таких ситуациях отсутствие документов «верхнего» уровня, определяющих цели и задачи обеспечения ИБ организации, как показано на рис. 2, означает, что руководство организации не ощущает потребности в ИБ и не будет потребителем результатов этой деятельности. В таких условиях работа службы обеспечения информационной безопасности организации не востребована и не ясна для руководства организации и подразделений бизнеса. В результате руководство организации воспринимает риски ИБ как риски бизнеса и реагирует на них не методами улучшения качества и стабилизации информационных процессов, а через экономические, финансовые, юридические, организационные, контрольные и иные механизмы. В отдельных случаях это может эффективным (перенос рисков на клиентов/контрагентов и т. п.), но чаще подобные меры более сложны, чем меры реагирования ИБ на риски в информационной сфере.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Отсутствие же документов «нижнего» уровня, как показано на рис. 3, означает, что не регламентированы процессы операционной деятельности по обеспечению ИБ организации. Но это может и не означать, что необходимая деятельность не реализуется. Деятельность может осуществляться, только она может иметь существенную вариативность и непредсказуемость по результатам, быть затруднительной для контроля и анализа. Такая ситуация наиболее типична для небольших и малых организаций. В этом случае руководство организации опирается на опыт и знания специалистов высокой квалификации. Таким образом, процессы могут быть организованы должным образом и будут на нижнем уровне успешно реализовываться, документироваться, но отсутствие заранее определенного интерфейса приведет к тому, что отчетные данные процессов обеспечения ИБ на верхнем уровне не смогут быть эффективно использованы. Подобная ситуация также чревата тем, что с уходом специалистов (смена работы, длительные командировки и т. п.) идет потеря операционной технологии (утрата «носителя» знаний). В отдельных случаях такие потери могут быть крайне чувствительными.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Анализ международной и российской практики, отраженной в международных и национальных стандартах, позволяет сформулировать следующий примерный перечень областей ИБ, которые могут быть охвачены положениями внутренних документов обеспечения ИБ организации:

— назначение и распределения ролей ИБ;

— обеспечение доверия к персоналу;

— менеджмент рисков ИБ;

— менеджмент инцидентов ИБ;

— обеспечения ИБ на стадиях жизненного цикла автоматизированных систем;

— управление доступом;

— защита от вредоносных программ;

— обеспечение ИБ при использования ресурсов электронной почты и сети Интернет;

— криптографическая защита информации;

— обеспечение «чистых столов» и «чистых экранов»;

— самооценка состояния ИБ;

— аудит ИБ.


В конкретной организации состав областей ИБ и перечень технологий обеспечения ИБ, в отношении которых формируется система документов, может отличаться от приведенного выше перечня.

Необходимо отметить, что не для каждой области ИБ может оказаться возможным построение полной (идеальной) пирамиды нормативных документов. В качестве примера можно привести правило (политику) так называемых «чистых столов». Обычно подобные правила отражают в частной политике или в инструкциях персонала. Таким образом, разработка документов по обеспечению ИБ требует взвешенного подхода и во многом зависит от сложившихся в организации принципов управления и контроля.

Далее на примере деятельности по менеджменту инцидентов ИБ (рис. 4) рассмотрим примерную (возможную) структуру нормативно-методического обеспечения для этого вида деятельности.

В данном примере мы исходим из предположения того, что руководством организации в основополагающем документе «Политика информационной безопасности организации» определены и утверждены высокоуровневые цели, содержание и основные направления деятельности по менеджменту инцидентов ИБ. В этом случае «частная» политика менеджмента инцидентов ИБ определяет требования к процессам: мониторинга инцидентов ИБ; сбора информации об инцидентах ИБ; анализа и обработки инцидентов ИБ.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

В примерной структуре не показаны документы, составляющие свидетельства выполненной деятельности, так как их состав напрямую зависит от реализуемых технологий и состава используемых продуктов и систем обеспечения ИБ.

При разработке внутренних нормативных документов в области обеспечения ИБ необходимо обеспечить, чтобы разрабатываемые документы:

— носили не рекомендательный, а обязательный характер;

— были выполнимыми и контролируемыми, не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;

— были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;

— не противоречили друг другу.


Оформление и содержание документов по обеспечению ИБ должны соответствовать установленным в организации нормам к содержанию и оформлению внутренних документов. Тем не менее в отношении содержания политики информационной безопасности организации и в отношении частных политик ИБ целесообразно руководствоваться положениями ГОСТ Р ИСО/МЭК 17799 «Информационная технология. Практические правила управления информационной безопасностью». В соответствии с указанным стандартом в политику ИБ организации рекомендуется включать следующие положения:

— определение информационной безопасности организации, ее общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;

— изложение целей и принципов информационной безопасности, сформулированных руководством;

— краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований, например:

— соответствие законодательным требованиям и договорным обязательствам;

— требования в отношении обучения вопросам безопасности;

— предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;

— управление непрерывностью бизнеса;

— ответственность за нарушения политики безопасности;

— определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности;

— ссылки на документы, дополняющие политику информационной безопасности, например, частные политики и процедуры безопасности для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.


Пример основополагающей политики ИБ организации приведен на рис. 5.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

При разработке структуры частных политик целесообразно исключать повторения одинаковых правил в различных частных политиках. При необходимости повторения в какой-либо частной политике ИБ правила или группы правил, содержащихся в другой (существующей) частной политике ИБ, целесообразно использовать ссылку на существующую частную политику ИБ. Например, включение в политику обеспечения ИБ какого-либо технологического процесса требований по антивирусной защите целесообразно осуществить в виде ссылки на политику антивирусной защиты (при ее наличии).

К инструкциям, руководствам (регламентам), методическим указаниям по обеспечению ИБ, как правило, предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.

Рекомендуется, чтобы инструкции, руководства (регламенты), методические указания по обеспечению ИБ содержали:

— определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и /или наименование деятельности (процесса), которая описывается инструкцией;

— ресурсы, необходимые для выполнения деятельности (процесса);

— детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;

— обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;

— права и ответственность субъекта (субъектов).


Недостаточно только разработать и ввести в действие документы по обеспечению ИБ. Документы должны иметь поддержку их жизненного цикла и быть актуальными осуществляемой организацией деятельности, а также внутренним и внешним условиям реализации этой деятельности. Менеджмент документов по обеспечению ИБ направлен на обеспечение разработки, учета, использования, хранения, проверки, обновления (поддержание актуального состояния) и изменения документов по обеспечению ИБ организации.

Менеджмент документов по обеспечению ИБ должен учитывать существующие требования законодательных актов и нормативных документов Российской Федерации, нормативных актов органов-регуляторов и внутренних документов организации. Документы должны сохраняться удобочитаемыми, легко идентифицируемыми и доступными. В организации должны существовать и быть документированы деятельности, направленные на идентификацию, хранение, защиту, поиск, обеспечение времени хранения документов, правила по их утилизации.

Модель менеджмента документов по обеспечению ИБ, гармонизированная с моделью менеджмента ИБ, определенной стандартом ГОСТ Р ИСО/МЭК 27001, приведена на рис. 6.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

На этапе «Планирование документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:

— определение потребностей организации по обеспечению ИБ;

— разработка, согласование и утверждение основополагающей (корпоративной) политики ИБ организации и частных политик ИБ;

— разработка, согласование и утверждение документов, содержащих описания основных процессов обеспечения ИБ (например, менеджмент инцидентов ИБ, менеджмент рисков ИБ, оценка ИБ организации, обучение и осведомление персонала и др.).


К разработке и согласованию корпоративной политики ИБ и частных политик ИБ организации должны привлекаться представители следующих служб организации, ответственных за реализацию управленческих, основных производственных и вспомогательных процессов организации, связанных с ее информационной сферой:

— лица из состава высшего руководства организации;

— профильных (основных производственных) подразделений;

— службы информатизации;

— службы безопасности (информационной безопасности).


Все документы, составляющие политику ИБ организации, должны быть согласованы, введены в действие и учтены в соответствующем реестре. Корпоративная политика ИБ должна быть утверждена руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала). Частные политики ИБ могут быть утверждены руководителем организации или его заместителем по вопросам ИБ.

Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.

В организации должно быть определено лицо (или лица), ответственное (или ответственные) за реализацию политики ИБ организации, ее поддержку в актуальном состоянии, включающее пересмотр политики в соответствии с установленным в организации порядком.

В организации должно быть определено лицо (или лица), ответственное (или ответственные) за контроль реализации политики ИБ организации. Как правило, не допускается выполнение этими же сотрудниками организации функций по обеспечению реализации политики ИБ организации.

На этапе «Реализация документационного обеспечения» осуществляются следующие процессы менеджмента документов по обеспечению ИБ:

— внедрение в деятельность организации принятых документов политики ИБ, разработанных на этапе «Планирование документационного обеспечения» и содержащих описания основных процессов обеспечения ИБ;

— разработка, согласование и утверждение документов второго и третьего уровней нормативного обеспечения ИБ организации (см. рис. 1);

— внедрение утвержденных документов второго и третьего уровней;

— управление регистрационными данными о реализации требований нормативных актов по обеспечению ИБ организации, являющихся свидетельствами реализации процессов и задач обеспечения ИБ.


Ответственность за организацию работ в соответствии с требованиями, определенными документами второго и третьего уровня, возлагается решением руководства организации посредством соответствующих распорядительных документов.

Все документы второго и третьего уровней должны быть согласованы, введены в действие и учтены в соответствующем реестре (каталоге), который может быть организован и размещен в электронном виде во внутрикорпоративной системе.

Документы, содержащие требования информационной безопасности к процессам, могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.

Документы, содержащие требования информационной безопасности к задачам, могут быть утверждены лицами, ответственными за реализацию соответствующих процессов ИБ.

На этапе «Оценка адекватности документационного обеспечения» реализуются следующие процессы менеджмента документов по обеспечению ИБ:

— проверка соответствия деятельности по обеспечению ИБ действующим документам по обеспечению ИБ;

— проверка адекватности самих документов реальным потребностям организации по обеспечению ИБ.


Проверка может производиться как путем проведения мониторинга, так и путем проведения внутреннего аудита ИБ (внутреннего контроля) или внешнего аудита ИБ.

При проведении аудита ИБ положения документов политики ИБ, нормативных документов по обеспечению ИБ являются критериями аудита ИБ, а записи — свидетельствами реализации требований.

На этапе «Совершенствование документационного обеспечения» на основе результатов проведения мониторинга, а также внешнего или внутреннего аудита ИБ производится внесение изменений (актуализация) в соответствующие документы, разработка новых, вывод из действия устаревших.

Если же рассмотреть жизненный цикл отдельного документа, то в нем также выделяются отдельные стадии, которые в свою очередь коррелируются со стадиями жизненного цикла всей системы документов. В качестве примера можно рассмотреть модель жизненного цикла документа, приведенную в международном стандарте ISO 11442 Technical product documentation. Document management и представленную на рис. 7.

Обеспечение информационной безопасности бизнеса Подходы к формированию нормативного обеспечения системы информационной безопасности организации.

Фаза, в которой устанавливается фактическое содержание документа, является фазой разработки. По решению разработчика о завершении разработки документа должна быть инициирована фаза утверждения. Данная фаза характеризуется статусом документа «в рассмотрении». Документ с указанным статусом все еще находится в собственности разработчика, и в отношении его использования действуют те же ограничения. Опубликование является независимой деятельностью по отношению к утверждению. Следовательно, в целях согласования с выпуском других документов в рамках проекта должен быть определен срок опубликования документа. Фаза, в которой опубликованные документы находятся на хранении и доступны авторизованным пользователям для чтения и копирования, называется фазой хранения. Фаза пересмотра подразумевает собой получение копии хранящегося документа, передачу на пересмотр, а также присвоение ей статуса «в подготовке». Фаза архивации обуславливается перемещением документов из хранилища действующих документов в архив для хранения на установленный период.

Рассмотренная модель жизненного цикла документа может быть взята организациями за основу при формировании и внедрении системы менеджмента документов по обеспечению ИБ.

Обзор современных средств управления доступом (ЗАО «Инфосистема Джет»)

Алексей Лаврухин, директор по развитию

Вячеслав Петрухин, консультант

Центр информационной безопасности

Компания «Инфосистемы Джет»

Управление доступом относится к числу приоритетных задач обеспечения информационной безопасности. При всей важности встроенных и наложенных средств защиты информации эффект от их использования может быть сведен на нет, если политика предоставления доступа в организации является неоптимальной и непродуманной и основывается на устаревших средствах управления доступом. По этим причинам внедрение современных средств управления доступом является одним из основных направлений деятельности по обеспечению защиты информации компании «Инфосистемы Джет».

Недостатки традиционного подхода к управлению доступом.

Одна из особенностей традиционного управления доступом заключается в том, что для бизнеса информационная система является в значительной степени «черным ящиком»: сотрудники бизнес-подразделений не могут проконтролировать, какие права доступа назначаются администраторами систем сотрудникам и какие привилегии они в результате имеют.

Усугубляет ситуацию и то, что ИТ-инфрастуктура организации, как правило, состоит из множества различных информационных систем, большинство из которых имеет свое собственное хранилище учетных записей и связанных с ними привилегий. Эти политики могут значительно различаться, а управление учетными записями становится трудоемкой задачей. В результате невозможно представить полную картину прав доступа сотрудников и тем более получать такую информацию оперативно и регулярно.

Выполнение операций с учетными записями является по большей части механической работой, которая может быть автоматизирована. Традиционное ручное управление учетными записями, особенно в случае неподконтрольности результата, чревато как случайными, так и умышленными ошибками, которые могут быть выявлены лишь спустя значительное время или не выявлены совсем. Также ручное управление доступом приводит к задержкам предоставления или изменения доступа, вследствие чего увеличивается время вынужденного простоя, если сотрудник не может выполнять свои служебные обязанности или риски безопасности, если по каким-то причинам права доступа сотрудника в данный момент являются избыточными.

На практике реализация единой политики доступа к информационным ресурсам затрудняет поиск компромисса между удобством и безопасностью. В частности, если пользователь имеет доступ к пяти информационным системам, он вынужден помнить различные пароли, отвечающие всем требованиям сложности. А если сделать смену пароля обязательной хотя бы раз в три месяца, то самой частой задачей отдела системного администрирования, вероятно, будет восстановление забытых паролей, а пользователи будут записывать пароли на стикерах в текстовых файлах.

Средства предотвращения утечек информации (Data Leak Prevention — DLP) также значительно снижают удобство использования информационных ресурсов. Так, например, стандартными мерами по предотвращению распространения конфиденциальной информации являются запрет на использование USB-носителей и контентная фильтрация исходящего почтового трафика. Эти меры затрудняют обмен информацией даже в том случае, когда ее передача легитимна (например, в случае отправки конфиденциальных документов контрагентам), и не позволяют управлять доступом к служебной информации за пределами периметра. Впрочем, и внутри периметра отследить и предотвратить доступ к конфиденциальной информации на уровне файлов с помощью стандартных DLP-решений крайне сложно или даже невозможно.

Современные средства управления доступом.

Основные тенденции, которые прослеживаются в развитии средств управления доступом, — повышение прозрачности соответствующих процессов и их передача под контроль бизнес-подразделений.

Эти тенденции, а также сложность администрирования разнородных хранилищ учетных записей привели к появлению информационных систем Identity Management (IdM), одними из основных задач которых являются централизация и автоматизация процессов управления доступом. IdM-система подключается к «доверенному источнику», которым чаще всего является система кадрового учета для получения данных о сотрудниках (прием на работу, изменение должности, увольнение и т. д.), и к «целевым системам» — информационным системам и бизнес-приложениям организации. На основании данных доверенного источника IdM-система запускает процессы управления учетными записями и правами доступа, которые могут включать согласования, эскалации и делегирование отдельных функций этих бизнес-процессов. Такой подход позволяет реализовать принцип разделения полномочий в управлении доступом (Segregation of Duties — SoD), согласно которому каждый процесс должен иметь более одного участника, что значительно снижает риск предоставления избыточных полномочий. На основании данных доверенного источника IdM-система запускает процессы управления учетными записями и правами доступа, а также контроля привилегий пользователей в целевых системах и формирования отчетов, которые могут включать согласования, эскалации и делегирование отдельных функций этих бизнес-процессов.

Другой тенденцией является создание единой модели ролевого управления доступом (Role Based Access Control — RBAC) в рамках всех информационных систем организации. Реализующие такой подход средства (Role Management) могут являться как частью IdM-системы, так и отдельным продуктом. Использование средств Role Management позволяет описать конкретные привилегии пользователей в терминах «ИТ-ролей» (например, «доступ на чтение к сетевому каталогу подразделения N») и сгруппировать их в так называемые бизнес-роли, которые могут соответствовать связке должности плюс подразделение сотрудника или выполняемым им обязанностям. Назначение бизнес-роли сотруднику в системе IdM приведет к изменению его прав доступа в целевых системах.

Средствами, позволяющими выполнить требования безопасности к авторизации пользователей в информационных системах, являются решения, обеспечивающие однократную аутентификацию (Single Sign-On — SSO). Клиентская часть SSO устанавливается на рабочую станцию пользователя и после его авторизации в корпоративном каталоге получает из него информацию об учетных данных конкретного пользователя в различных информационных системах. При попытке авторизации пользователя в каком-либо бизнес-приложении компонент SSO распознает окно ввода логина и пароля и подставляет их в соответствующие поля. Для вебприложений аналогичные задачи выполняются решениями Access Management. Интеграция решений Single Sign-On и Access Management с системой Identity Management позволяет реализовать сложные политики управления паролями и доступом к приложениям и одновременно увеличить удобство использования информационных ресурсов организации. Соответствующий всем требованиям сложности пароль устанавливается в бизнес-приложении IdM-системой и записывается в хранилище систем SSO и Access Management. Далее автоматически пароль меняется через заданные промежутки времени. При этом пользователю достаточно помнить один пароль от корпоративного каталога, необходимый для авторизации на рабочей станции. Максимального уровня безопасности можно добиться при использовании двухфакторной аутентификации для доступа пользователя в домен сети предприятия.

Современные средства, позволяющие управлять доступом к информации на уровне файлов, тем самым позволяющие расширить функционал DLP-систем, относятся к классу Information Rights Management — IRM. Программное обеспечение IRM встраивается в средства создания носителей информации (офисные программы MS Office, системы документооборота и приложения, позволяющие экспортировать данные в файлы). При создании нового документа он может быть автоматически или вручную отнесен к одной из определенных категорий. Если содержимое документа было определено как конфиденциальное, оно «запечатывается» средствами IRM. Далее в зависимости от категории пользователя доступ к запечатанному файлу может быть ограничен или полностью закрыт. Технология запечатывания документа также не позволит скопировать его содержимое, в том числе и с помощью клавиши Print Screen, если это было запрещено при его создании. При этом с помощью сервера IRM сохраняется контроль доступа к файлам после их передачи по сети предприятия или за ее пределы: текущие права конкретного пользователя или целой группы могут быть изменены или полностью отозваны. Кроме того, на сервере сохраняется история работы с данным файлом, в том числе история неудачных попыток его открытия, которая может быть использована для расследования инцидентов и предотвращения утечек информации.

Перечисленные средства позволяют контролировать доступ к информационным ресурсам на всех уровнях. В случае совместного использования они значительно повышают защищенность информационной безопасности организации и удобство использования информационных ресурсов, а также увеличивают прозрачность процессов управления доступом для бизнеса. Компания «Инфосистемы Джет» активно развивает это направление с 2006 г. В настоящее время специалистами компании реализовано большое количество проектов и накоплена компетенция, позволяющая реализовывать интеграционные проекты по управлению доступом любой сложности.

Обеспечение информационной безопасности бизнеса Обзор современных средств управления доступом.  (ЗАО «Инфосистема Джет») Современные средства управления доступом Обеспечение информационной безопасности бизнеса Обзор современных средств управления доступом.  (ЗАО «Инфосистема Джет») Современные средства управления доступом

Приложение 3 (справочное)

Примеры метрик для измерения атрибутов


Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов. Обеспечение информационной безопасности бизнеса Примеры метрик для измерения атрибутов.

Приложение 4 ЗАО «ЕС-лизинг»

ЗАО «ЕС-лизинг» по заказу Банка России (БР) разработало систему обеспечения информационной безопасности коллективных центров обработки информации (КЦОИ) Банка России.

ЗАО «ЕС-лизинг» прошло экспертизу компании ООО «Пацифика» на соответствие требованиям и рекомендациям стандарта Банка России СТО БР ИББС-1.0-2006 «Обеспечение ИБ организацией банковской системы Российской Федерации. Общие положения». В результате экспертизы установлено, что система менеджмента информационной безопасности ЗАО «ЕС-лизинг» соответствует требованиям и рекомендациям стандарта Банка России СТО БР ИББС-1.0-2006 (уровень соответствия — второй).

ЗАО «ЕС-лизинг» имеет следующие лицензии Федеральной службы по техническому и экспертному контролю:

• лицензия (серия КИ 0028, № 001362) Федеральной службы по техническому и экспертному контролю на деятельность по разработке и (или) производству средств защиты конфиденциальной информации (регистрационный № 0269 от 11 апреля 2006 г., лицензия действительна до 11 апреля 2011 г.);

• лицензия (серия КИ 0028, № 001359) Федеральной службы по техническому и экспертному контролю на деятельность по технической защите конфиденциальной информации (регистрационный № 0463 от 11 апреля 2006 г., лицензия действительна до 11 апреля 2011 г.).


ЗАО «ЕС-лизинг» имеет следующие сертификаты соответствия от АНО «Центр независимой комплексной экспертизы и сертификации систем и технологий»:

• сертификат соответствия № ВР 08.1.2601-09, удостоверяющий, что система менеджмента качества, распространяющаяся на разработку, производство, гарантийное обслуживание (в том числе сопровождение) продукции в соответствии с классами ЕКПС 1210, 7010, 7015, 7030, 7031, отвечает требованиям ГОСТ Р ИСО 9001–2008 (ИСО 9001:2008), ГОСТ РВ 15.002-2003 и СРПП ВТ (действие сертификата с 16 декабря 2009 г. по 16 декабря 2012 г.);

• сертификат соответствия № SSAQ 032.3.1.0427, удостоверяющий, что система менеджмента качества применительно к проектированию, разработке, производству и обслуживанию/поддержке/сопровождению соответствует требованиям ГОСТ Р ИСО 9001–2008 (ИСО 9001:2008 (действие сертификата с 16 декабря 2009 г. по 16 декабря 2012 г.).

Система обеспечения информационной безопасности КЦОИ Банка России.

В ЗАО «ЕС-лизинг» разработана Система обеспечения информационной безопасности коллективных центров обработки информации (СОИБ КЦОИ) для обеспечения противодействия угрозам на 2-5-м уровнях. СОИБ КЦОИ БР является инфраструктурным решением и охватывает все автоматизированные системы и прикладные программные комплексы, функционирующие в КЦОИ Банка России.

СОИБ КЦОИ предназначена для обеспечения заданного уровня информационной безопасности программно-технических средств (ПТС) КЦОИ и автоматизированных систем (АС), функционирующих на КЦОИ БР, путем мониторинга и управления как специальными, так и встроенными в общесистемное программное обеспечение средствами обеспечения информационной безопасности (ИБ).

Цели создания СОИБ КЦОИ БР.

Перед СОИБ КЦОИ БР стояли три основные цели:

1) выполнение в КЦОИ БР требований нормативных документов Банка России и стандарта Банка России по ИБ;

2) проведение централизованного управления учетными записями и правами доступа персонала СОИБ КЦОИ БР и подконтрольных СОИБ КЦОИ БР объектов;

3) обеспечение централизованного мониторинга и осуществление контроля выполнения персоналом СОИБ КЦОИ БР и подконтрольных СОИБ КЦОИ БР объектов регламентов и технологических операций.

Функции СОИБ КЦОИ БР.

В рамках СОИБ КЦОИ БР выполняются такие функции, как управление учетными записями эксплуатационного персонала КЦОИ БР, централизованная аутентификация и управление доступом к ресурсам комплекса технических средств (КТС) КЦОИ БР, централизованный мониторинг, самоконтроль СОИБ КЦОИ БР, а также резервирование, хранение и восстановление данных СОИБ КЦОИ БР.

Структура СОИБ КЦОИ БР.

Структурно СОИБ КЦОИ БР состоит из ядра системы и специализированных подсистем управления и мониторинга (СПУМ) в составе: СПУМ z/OS, СПУМ MS Windows КЦОИ БР, СПУМ ЛВС КЦОИ БР, СПУМ антивирусной защитой КЦОИ БР, СПУМ СЗИ от НСД и СПУМ СУБД КЦОИ БР.

Обеспечение информационной безопасности бизнеса Приложение 4.  ЗАО «ЕС-лизинг» Структура СОИБ КЦОИ БР

СОИБ КЦОИ БР обеспечивает реализацию требований к функциям СОИБ и взаимодействие со смежными специализированными подсистемами управления и мониторинга.

Ядро системы СОИБ КЦОИ БР обеспечивает выполнение функций СОИБ КЦОИ БР и осуществляет взаимодействие со СПУМ.

Специализированные подсистемы управления и мониторинга (СПУМ) СОИБ КЦОИ БР входят в состав СОИБ БР и обеспечивают взаимодействие ядра СОИБ БР с соответствующими подконтрольными системами КЦОИ БР.

Выполнение функций СОИБ КЦОИ БР в отношении подконтрольных объектов обеспечивается ядром СОИБ КЦОИ БР при отсутствии агентов на подконтрольных объектах или ядром СОИБ КЦОИ БР совместно со СПУМ при наличии агентов на подконтрольных объектах.

С целью обеспечения отказоустойчивости и катастрофоустойчивости работы СОИБ КЦОИ БР программные средства, обеспечивающие функционирование СОИБ КЦОИ БР, установлены особым образом, в специальной конфигурации и со специальными настройками.

Структурная схема.

Структурная схема СОИБ КЦОИ представлена ниже. На схеме выделены объекты, подконтрольные СОИБ КЦОИ БР.

Программные средства подконтрольных систем состоят из операционных систем z/OS, Suse Linux и Windows Server 2003, Windows XP, WebSphere Application Server, СУБД Oracle и MS SQL.

Заключение.

Следует отметить, что СОИБ КЦОИ БР является гибкой и развивающейся информационной системой. Продуманные особенности структуры СОИБ КЦОИ БР (ядро и набор СПУМ), а также мощность программных средств, используемых для реализации системы, позволяют обеспечить широкие возможности по масштабируемости системы и добавлению новых подконтрольных систем в контур СОИБ КЦОИ БР в будущем.

Обеспечение информационной безопасности бизнеса Приложение 4.  ЗАО «ЕС-лизинг» Заключение

Приложение 5 Монитор TopCM

В ЗАО «ЕС-лизинг» разработан монитор TopCM (Top Control Manager), предназначенный для осуществления полного контроля над функционированием операционной системы z/OS вместе со всеми ее приложениями с целью обеспечения повышенного уровня информационной безопасности вычислительного процесса, построенного на базе z/OS. Монитор TopCM способен полностью контролировать взаимодействие вычислительной системы с внешней средой, включая взаимодействия с другими вычислительными системами посредством каналов связей, а также работу пользователей любого статуса, в том числе операторов и администраторов операционной системы и любых приложений. Кроме того, монитор может контролировать функционирование всех прикладных и системных программ, включая их взаимодействие друг с другом, попытки получения несанкционированного доступа к ресурсам, попытки неавторизованных программ нарушить или вмешаться в работу управляющей или других прикладных программ, а также повысить свой собственный статус или уровень авторизации в системе.

Одной из важнейших функций монитора является возможность обнаружения и пресечения попыток выполнения инструкций процессора, необъявленных в открытом описании принципов работы z/архитектуры. Возможность контролировать подобные события относится к программам любого типа, управляющим или прикладным, независимо от уровня их авторизации.

Монитор TopCM запускается в среде z/OS как обычное задание в области V = R и представляет собой авторизованную программу. На этапе инициализации программа переходит в супервизорный режим и получает нулевой ключ доступа к памяти. Затем программа формирует свою собственную префиксную страницу и заменяет ею префиксную страницу z/OS. Если конфигурация вычислительной установки мультипроцессорная, TopCM заменяет своими собственными префиксные страницы z/OS для всех процессоров, входящих в конфигурацию.

Обеспечение информационной безопасности бизнеса Приложение 5.  Монитор TopCM.

Список литературы

1. Risk Metrics Technical Document. — JPMorgan, 4th edition, December, 1996.

2. Taylor W. F. Principles of Scientific Management. — New York: Harper & Row, 1911.

3. Гольдштейн Г. Я. Основы менеджмента — Таганрог: ТРТУ, 2003.

4. ГОСТ Р 51897-2002, Менеджмент риска. Термины и определения.

5. ГОСТ Р 51898-2002, Аспекты безопасности. Правила включения в стандарты.

6. Нив Генри Р. Пространство доктора Деминга: Принципы построения устойчивого бизнеса. — М.: Альпина Бизнес Букс, 2005.

7. Deming W. Edward. Out of the Crisis: Quality, Productivity, and Competitive Position. — Cambridge (Mass.) Mass. Inst. of Technology, Center for Advanced Engineering Study: Cambridge University Press, 1982.

8. ISO/TC 176/SC 2/N 544R2, ISO 9000 Introduction and Support Package: Guidance on the Concept and Use of the Process Approach for management systems, 13 May 2004.

9. Европейское качество = European Quality: журнал/Европейская организация по качеству; перевод/ФГУП РИА «Стандарты и качество» — 2001, № 2.

10. ИСО 31000, Risk management — Principles and guidelines on implementation.

11. ISO/IEC 27001:2005, Information technology — Security techniques — Information security management systems — Requirements.

12. ISO/IEC 38500:2008, Corporate governance of information technology.

13. ISO GUIDE 72:2001, Guidelines for the justification and development of management system standards.

14. ISO/IEC 27003, Information technology — Security techniques — Information security management system implementation guidance.

15. Technical Report ISO/IEC TR 18044, Information technology — Security techniques — Information security incident management.

16. NIST Special Publication 800-61, Computer Security Incident Handling Guide. Recommendations of the National Institute of Standards and Technology, January 2004.

17. ГОСТ Р ИСО/МЭК 13335-1-2006. Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.

18. ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security management.

19. Excerpted from the Executive Summary of the Report Issued by The Committee of Sponsoring Organizations of the Treadway Commission. «Internal control — Integrated framework», 1992.

20. The Committee of Sponsoring Organizations of the Treadway Commission. «Internal Control over Financial Reporting — Guidance for Smaller Public Companies», 2006.

21. ISO/ШС 20000, Information technology — Service management.

22. ISO/IEC 15939, Software engineering — Software measurement process.

23. ISO/IEC 27004, Information technology — Security techniques — Information security management — Measurement.

24. Gartner. The Price of Information Security. Strategic Analysis Report.

25. Курило А. П., Зефиров С. Л., Голованов В. Б. и др. Аудит информационной безопасности. — М.: Издательская группа «БДЦ-пресс», 2006.

26. СТО БР ИББС — 1.0-2008 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения.

27. СТО БР ИББС — 1.1-2007 Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Аудит информационной безопасности.

28. BSI PAS 56 Guide to Business Continuity Management (BCM)

29. ISO/IEC 15504 Information technology — Process assessment.

30. NIST Special Publication 800-55 «Security Metrics Guide for Information Technology Systems.

31. Зефиров С. Л., Голованов В. Б. Как измерить информационную безопасность организации? Объективно о субъективном // Защита информации. Инсайд. 2006. № 3.

32. Risk Based Internal Auditing [Электронный ресурс]/The Institute of Internal Auditors — UK and Ireland. — www.iia.org.uk, August 2003.

33. К. В. Харский. Благонадежность и лояльность персонала. — СПб.: Питер,

2003.

34.. Robert Н. Anderson, Richard Brackney, Thomas Bozek. Advanced Network Defense Research, Proceedings of а Workshop., Santa Monica, CA, RAND Corporation, CF-159-NSA, 2000.

35. Инструкция Банка России № 110-И «Об обязательных нормативах банков» от 16 января 2004 г.

36. DoD Insider Threat Mitigation. Final Report of the Insider Threat Integrated Process Team, 24.04.2000.

37. Marisa Reddy Randazzo, Michelle Keeney, Eileen Kowalski, Dawn Cappelli, Andrew Moore. Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector, National Threat Assessment Center, United States Secret Service, Washington, DC. Software Engineering Institute, Carnegie Mellon University, Pittsburgh, PA, August 2004.

38. «Сисадмин осужден на 8 лет за месть работодателю», http://forum.ubuntu.ru, 18.12.2006 г.

39. «Сисадмин банка уничтожил данные из-за маленькой премии», http://forum.armkb.com, 13.06.2006 г.

40. «Disgruntled UBS PaineWebber Employee Charged with Allegedly Unleashing «Logic Bomb» on Company Computers», И. S. Department of Justice United States Attorney District of New Jersey, December 17, 2002.

41 С. Витковская, А. Никольский ««Шерлок» взят с поличным. Бывшие сотрудники «ВымпелКома» продавали распечатки звонков сотовых абонентов», http://www.sostav.ru, 29.11.2004 г.

42. «Защита от инсайдера», приложение к газете «Коммерсантъ» № 69 (3645) от 24.04.2007 г. (http://www.kommersant.ru).

43. Дайджест событий ИТ-безопасности// КомпьютерПресс. 2007. № 5.

44. «Huge Leak Revealed at Japanese Firm», http://www.darkreading.com, 2007 г.

45. О. Визнюк «Запорожский хакер взломал банковскую систему», Центр исследований компьютерной преступности, http://www.crime-research.ru, 11.04.2005.

46. «Хакер сознательно хотел, чтобы его заметили, но этого не произошло», http://www.securitylab.ru, 12.04.2005.

47. «Жером Кервьель лишил главу Societe Generale половины полномочий», газета «Коммерсантъ», № 67 (3884) от 19.04.2008 (http://www.kommersant.ru).

48. «Societe Generale обнаружил дефекты в управлении рисками», газета «Коммерсантъ», № 30 (3847) от 22.02.2008 (http://www.kommersant.ru).

49. «У Жерома Кервьеля был шанс обыграть рынок» (http://bankir.ru, 25.12.2008).

50. «Жером-разоритель», журнал «Власть», № 4 (757) от 04.02.2008 (http://www.kommersant.ru).

51. Yann Le Guernigou, Tim Hepher. SocGen splits chairman, CEO jobs after scandal. — Reuters, 17.04.2008.

52. Скляров С. В. Вина и мотивы преступного поведения. — М.: Юридический центр Пресс, 2004.

53. Комер М. Дж. Расследование корпоративного мошенничества. — М.: Hippo,

2004.

54. Доронин А. И. Бизнес-разведка. — М.: Ось-89, 2003.

55. Report to the Nation on Occupational Fraud & Abuse, Association of Certified Fraud Examiners, Inc., 2008.

56. Положение Центрального банка Российской Федерации от 16 декабря 2003 г. № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах».

Участники проекта «Обеспечение информационной безопасности бизнеса»

IBM Восточная Европа/Азия.

123317, Россия, Москва,

Пресненская наб., д. 10.

Тел.: +7 (495) 775-8800.

Факс: +7 (495) 940-2070,

+ 7 (495) 258-6363.

ibm.com/ru


CompuTel.

115114, Россия, Москва,

Кожевнический пр., д. 4, стр. 3.

Тел.: +7 (495) 640-3010.

Факс: +7 (495) 640-3011.

www.computel.ru info@computel.ru


ЗАО «ЕС-лизинг»

117405, Россия, Москва,

Варшавское ш., д. 125, стр. 1.

Тел.: +7 (495) 319-1390.

Факс: +7 (495)-319 6990.

www.ec-leasing.ru contact@ec-leasing.ru


ЗАО НИП «ИНФОРМЗАЩИТА»

127018, Россия, Москва,

ул. Образцова, д. 38.

Тел./факс: +7 (495) 980-2345.

www.infosec.ru.

Запрос информации о продуктах и услугах:

market@infosec.ru


ЗАО «Инфосистемы Джет»

127015, Россия, Москва,

ул. Б. Новодмитровская, д. 14, стр. 1,

офисный центр «Новодмитровский»

Тел.: +7 (495) 411-7601,

+ 7 (495) 411-7603.

Факс: +7 (495) 411-7602.

http://www.jet.msk.su info@jet.msk.su


ОАО «ЭЛВИС-ПЛЮС»

124498, Россия, Москва,

Зеленоград, Проезд 4806, д. 5, стр. 23.

Тел.: +7 (495) 777-4290,

+ 7 (499) 731-4633,

+ 7 (499) 731-2403.

www.elvis.ru

info@elvis.ru

© ООО «Центр исследований платежных систем и расчетов», 2010.

© ООО «Альпина», 2010.