Процессный подход

в рамках управления ИБ
 Любое действие, использующее ресурсы и управляемое с целью
преобразования входных данных в выходные, может рассматриваться
как процесс. Применение системы процессов в организации,
идентификация, взаимодействие этих процессов и управление этими
процессами может быть названо процессным подходом. Это
справедливо и в отношении обеспечения и управления ИБ. Процессный
подход к управлению ИБ распространяется на разработку, реализацию,
эксплуатацию, мониторинг, анализ, сопровождение и улучшение СУИБ
организации.

2
 В ISO/IEC 27001 и ГОСТ Р ИСО/МЭК 27001 для описания процессов СУИБ
используется циклическая модель PDCA (цикл мероприятий планирование –
реализация – проверка – совершенствование). При таком подходе придаётся
особое значение следующему:
- пониманию требований по ОИБ организации и необходимости определить
политику и цели ОИБ;
- внедрению и использованию обоснованных защитных мер для управления
рисками ИБ организации;
- мониторингу и анализу результативности СУИБ;
- постоянному улучшению, основанному на объективных показателях.

3
 На стадии планирования обеспечивается правильное определение
контекста и масштаба СУИБ, оцениваются риски ИБ, предлагается план
обработки этих рисков.
На стадии реализации внедряются решения, принятые во время
планирования.
На стадиях проверки и совершенствования усиливают, исправляют и
улучшают решения СУИБ, которые уже были приняты и реализованы.

4
Рассмотрим детально процессы цикла PDCA в применении к процессам СУИБ:

5
 Планирование СУИБ.
На этом этапе разрабатывается СУИБ, т.е. устанавливается её область действия и
политика, определяются цели, задачи, процессы и процедуры, соответствующие
потребностям бизнеса в управлении рисками ИБ и позволяющие повысить
уровень ИБ, получить соответствующие результаты. Цель – “запуск” цикла СУИБ
путём определения первоначальных планов её построения, ввода в действие,
контроля и определения планов по улучшению на основе принятых решений
(если этот цикл не первый). Разработка основывается на 3 принципах:
1. разомкнутое управление (заранее сформированные требования реализуются
исполнителями ОИБ, воздействуя на объект защиты,
“плюс” – простота, “минус” – низкая эффективность защиты);
2. компенсация (в контур управления ИБ вводится информация об обнаруженной
угрозе ИБ, исполнители ОИБ противодействуют ей,
“плюс” – высокая эффективность, “минус” – трудность правильного обнаружения
угрозы и невозможность устранения последствий внутренних угроз);
3. обратная связь (определяется реакция системы на угрозу и степень ущерба,
“плюс” – точность отработки последствий угроз, “минус” – запаздывание
6
принимаемых защитных мер).
Рассмотрим шаги планирования СУИБ:

7
 Реализация СУИБ.
На этом этапе происходит внедрение системы и разработанных
процессов управления ИБ и эксплуатация, т.е. применение политики в
отношении СУИБ, защитных мер, процессов и процедур СУИБ. Это
осуществляется по результатам выполнения этапов планирование и/или
совершенствование. Также организуется обучение и повышение
осведомлённости в области ИБ, реализация обнаружения и
реагирования на инциденты ИБ.
Поэтапные действия по внедрению СУИБ(в соответствии с ISO/IEC 27001):
1. управленческий этап (определение целей и выгод внедрения,
получение поддержки руководства, ввод в эксплуатацию, распределение
ответственности по СУИБ);
2. организационный этап (создание и обучения группы по внедрению и
поддержке СУИБ, определить её область действия);
3. первоначальный анализ существующей СУИБ (анализирование,
определение стратегии по доработке);
4. определение Политики СУИБ и её целей по каждому процессу;
8
 (продолжение)
5. сравнение текущей стадии со стандартом 27001 (ознакомление с
требованиями стандарта, сравнение стандарта с текущими положениями;
6. этап планирования внедрения СУИБ (определение нужных мероприятий
для достижения требований стандарта, разработка руководства по ИБ);
7. этап внедрения системы управления рисками ИБ (разработка процедуры
идентификации рисков ИБ, идентификация, оценка и определение
уязвимостей активов, назначение ответственных за активы, определение
рисков ИБ и разработка плана по их уменьшению, определение
неприменимых средств управления ИБ и разработка положения о них);
8. этап разработки документации СУИБ (определение перечня документов,
разработка определённых процедур).
Рассмотрим эти процедуры:
- управленческие (стандарт на разработку документов, управление
документами и записями, корректирующие мероприятия и т.д.);
- технические (приобретение, развитие и поддержка ИС, управление
доступом, резервное копирование и т.д.); 9
 (продолжение)
- управленческие записи (отчёты об аудитах ИБ, отчёт об анализе рисков
и работе комитета по ИБ, договоры и т.д.);
- технические записи (реестр активов, план предприятия и размещения
активов, план компьютерной сети);
- инструкции и положения (правила работы с компьютерами и ИС,
обращения с паролями, инструкция по восстановлению данных из
резервных копий и т.д.).
9. обучение персонала требованиям ИБ;
10. этап разработки и принятия мер по обеспечению работы СУИБ
(внедрение средств защиты);
11. внутренний аудит СУИБ (подбор команды, планирование и
проведение);
12. анализ СУИБ со стороны руководства;
13. официальный запуск СУИБ (приказ о введении в действие);
14. оповещение заинтересованных сторон (информирование клиентов,
партнёров, СМИ). 10
 Проверка СУИБ.
На этом этапе проводится мониторинг и анализ СУИБ, включающие оценку и
количественное измерение результативности процессов и информирование
руководства о результатах для дальнейшего анализа, а также периодически
пересматривается оценка рисков ИБ, обновляются планы ОИБ с учётом
результатов мониторинга и анализа и регистрируются действия, способные
повлиять на функционирование СУИБ.
Цель – обеспечение уверенности в том, что СУИБ функционирует надлежащим
образом и адекватна существующим угрозам ИБ и условиям
функционирования организации.
Процедуры мониторинга и анализа используются для того, чтобы:
- способствовать своевременному выявлению событий ИБ и предотвращать
инциденты ИБ, применяя средства индикации;
- предоставлять руководству информацию для принятия решений о ходе
выполнения деятельности по ОИБ;
- определять эффективность действий, предпринимаемых для устранения
нарушений ИБ. 11
Спасибо за внимание!

12