4 Концептуальные Основы ОИБЧасть 2 21

Концептуальные основы
обеспечения
информационной безопасности
Толстой Александр Иванович

к.т.н., доцент
Кафедра «Информационная безопасность банковских систем»
Институт интеллектуальных кибернетических систем (ИИКС)
НИЯУ МИФИ
Москва, февраль 2021

Концептуальные основы ОИБ: Содержание
Часть 1.
Основы методологии защиты информации
Часть 2.
Основы методологии обеспечения ИБ
2
Концептуальные основы ОИБ
История вопроса
2000
год
Традиционный подход Современный подход

(методология ЗИ) (методология ОИБ)
3
Концептуальные основы
обеспечения
Часть 2
Основы методологии обеспечения
к.т.н., доцент
Кафедра «Информационная безопасность банковских систем»
Институт интеллектуальных кибернетических систем (ИИКС)
НИЯУ МИФИ
Москва, февраль 2021

Часть 1.
Основы методологии защиты информации
1.Традиционный подход
2.Эффективность применения традиционного
подхода
Часть 2.
3.Фундаментальные особенности безопасности
4.Современный подход к обеспечению ИБ
5.Процессный подход к обеспечению ИБ
6.Системный подход к обеспечению ИБ 5
Часть 2.
5.Процессный подход к обеспечению ИБ
6.Системный подход к обеспечению ИБ
6
Концептуальные основы ОИБ: Основы методологии ОИБ

Напоминание (из Части 1): 2.Недостатки традиционного подхода:
Длительный опыт построение защиты информации на основе
Традиционной методологии выявил многочисленные факты
достижения невысокой эффективности КСЗИ.
Причины снижения эффективности используемых КСЗИ:
1.Деградация мер и средств защиты информации.
2. Сложность современных объектов ЗИ.
3.Изменчивость (стохастичность) бизнеса.
4.Отсутствие механизмов самоконтроля эффективности ЗИ
5.Отсутствие четкого понимания роли технических мер и
организационных мер в обеспечения эффективности ЗИ
Результаты:
1.Организации тратят достаточно большие ресурсы, а потери от
реализации угроз не уменьшаются.
2.Выявлен кризис традиционного подхода, что привело к поиску причин
такого положения и разработке современной методологии
обеспечения информационной безопасности. 7
Первая фундаментальная особенность безопасности:

При любом вмешательстве в систему в первую очередь страдает ее
безопасность.
Следствие 1: при добавлении средства защиты безопасность объекта

может не улучшиться, а ухудшится.
Таким образом, решение внедрить КСЗИ на объекте может привести не к улучшению

состояния защищенности объекта, а к ухудшению этого состояния. В рамках
традиционного подхода эта проблема не решалась, да и решить ее не
представлялось возможным.
Если учесть, что КСЗИ разрабатывалась с учетом конкретных особенностей объекта ЗИ,
то постоянные изменения в объекте требуют также постоянных изменений в КСЗИ.
Традиционная методология это не предусматривала.
8
Вторая фундаментальная особенность безопасности:

Безопасность никогда не бывает абсолютной — всегда есть некий риск ее
нарушения.
«риск» – это вероятность причинения вреда с учетом его тяжести (ст.2 Федерального
закона № 184-ФЗ «О техническом регулировании»);
Третья фундаментальная особенность безопасности:

Измерить уровень безопасности невозможно, можно лишь косвенно его
оценить, измерив соответствующие показатели, характеризующие
состояние безопасности объекта.
Следствие 2: необходимы универсальные показатели, характеризующие

состояние безопасности объекта, которые могут быть использованы при
измерении уровня безопасности объекта.
Традиционная методология такой возможности не имеет.
9
Четвертая фундаментальная особенность безопасности:

Наступление рискового события нарушения безопасности объекта в
общем случае предотвратить невозможно, можно лишь понизить
вероятность его наступления (т. е. добиться того, что такие события
будут наступать реже), или понизить степень ущерба от наступления
такого события.
Следствие 3. Для оценки уровня безопасности целесообразно
использовать риск ориентированный подход.
Определение:
Риск – это мера, учитывающая вероятность реализации угрозы и величину
потерь (ущерба) от реализации этой угрозы.
Следствие 4. Усилия по обеспечению безопасности объекта реально
сводятся к задаче понижения риска до приемлемого уровня, не более.
Следствие 5: Событие нарушения безопасности объекта неизбежно!
Традиционная методология такой возможности не имеет.

10
Общее следствие:
Анализ причин наблюдаемой на практике

неэффективности использования традиционной
подхода (методология ЗИ) и учет фундаментальных
особенностей безопасности объясняет появление в
начале двухтысячных годов современной
методологии обеспечения ИБ, основанной на
системном подходе
11
Информационная безопасность объекта - это состояние защищенности

активов объекта от угроз в информационной сфере, при котором
возможный ущерб активам объекта и объекту в целом от реализации этих
угроз не будет превышать приемлемого уровня
Обеспечение информационной безопасности объекта – это реализация
процесса (процессов) обеспечения такого состояния защищенности …..
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
Эффективность обеспечения ИБ определяется эффективностью управления
12
Информационная безопасность объекта - это состояние защищенности

активов объекта от угроз в информационной сфере, при котором
возможный ущерб активам объекта и объекту в целом от реализации этих
угроз не будет превышать приемлемого уровня
Обеспечение информационной безопасности объекта – это реализация
процесса (процессов) обеспечения такого состояния защищенности …..
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
Эффективность обеспечения ИБ определяется эффективностью управления
Для обеспечения ИБ объектов необходимо использовать управленческий

(системный) подход
 Для обеспечения ИБ объектов необходимо использовать процессный подход
13

(системный) подход
 Для обеспечения ИБ объектов необходимо использовать процессный подход
Процессный подход - это деятельность (в данном случае деятельность по

обеспечению ИБ объекта), связанная с реализацией последовательности
процессов, где каждый процесс представляет собой действие, использующее
ресурсы и управляемое для обеспечения преобразования неких входных
сущностей в выходные.
Такими сущностями могут быть или

информация, представленная в различных
формах (сообщение, сигнал, данные), энергия
(механическая, электрическая), или вещество.
Для процессов обеспечения ИБ объектов,
использующих информационные технологии,
такой сущностью, чаще всего, будет
информация. 14
(системный) подход.
Для обеспечения ИБ объектов необходимо использовать
процессный подход
При этом: Основной целью деятельности службы ИБ организации
является содействие бизнесу – целям деятельности организации.
Деятельность организации осуществляется через реализацию трех

групп высокоуровневых бизнес-процессов:
- основные процессы (процессы основной деятельности),
- вспомогательные процессы (процессы по видам обеспечения),
- процессы менеджмента (управления) организацией.
Процессы по обеспечению ИБ –
вид вспомогательных процессов, реализующих поддержку
(обеспечение) процессов основной деятельности организации в целях
достижения ею максимально возможного результата.
15

Для обеспечения ИБ объектов необходимо использовать процессный подход
Активы могут рассматриваться только в контексте целей
деятельности организации, но не как иначе.
Причем актив является объектом взаимодействия различных
субъектов
Определения:
«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-1-
2006];
«Собственник» - субъект хозяйственной деятельности, имеющий права владения,
распоряжения или пользования активами, который заинтересован или обязан
(согласно требованиям законов или иных законодательных или нормативно-
правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их
ценность или нанести ущерб собственнику.
«Субъект» – сущность, инициирующая выполнение операций (собственник актива,
служба ИБ собственника, злоумышленник (нарушитель);
«Злоумышленник (нарушитель)» - лицо, которое совершает или совершило заранее
обдуманное действие с осознанием его опасных последствий или не предвидело, но
должно было и могло предвидеть возможность наступления этих последствий
16
 Активы могут рассматриваться только в контексте целей
деятельности организации, но не как иначе.
Цели
Цели
Цели злоумышленника
злоумышленника
Цели
собственника
собственника
мотивация
Завладение правами
мотивация
Злоумышленник
Собственник Актив
Пол
неза учени
зн ие
кон е
би ен
дох ного
ес
в ож
ода
Вл
Использование прав
В соответствии с целями
бизнеса доход Бизнес
Конфликт целей собственника и

злоумышленника по
установлению контроля над Факторы эффективного Риски
активами Ведения бизнеса
17
Для обеспечения ИБ объектов необходимо использовать управленческий (системный)
подход.
Активы могут рассматриваться только в контексте целей деятельности организации, но не
как иначе.
Для обеспечения ИБ объектов необходимо использовать риск-ориентированный подход.
Причина: Деятельности организации сопутствует значительное число различных
рисков – риски ИБ один из видов рисков.
Следствие: Менеджмент рисков ИБ – основа деятельности по обеспечению ИБ.
Определения (ГОСТ Р ИСО/МЭК 13335-1-2006):
«Риск»: потенциальная опасность нанесения ущерба организации в результате
реализации некоторой угрозы с использованием уязвимостей актива или
группы активов (определяется как сочетание вероятности события и его
последствий .
«Менеджмент риска»: скоординированные действия по руководству и
управлению в отношении риска с целью его минимизации.
«риск» – это вероятность причинения вреда с учетом его тяжести (ст.2
Федерального закона № 184-ФЗ «О техническом регулировании»);
18

Для обеспечения ИБ объектов необходимо использовать риск-ориентированный
подход.
Фундаментальные особенности безопасности:
2) Безопасность никогда не бывает абсолютной — всегда есть некий риск ее
нарушения.
3) Измерить уровень безопасности невозможно, можно лишь косвенно его оценить,
измерив соответствующие показатели, характеризующие состояние безопасности
объекта.
4) Наступление рискового события нарушения безопасности объекта в общем случае
предотвратить невозможно, можно лишь понизить вероятность его наступления (т. е.
добиться того, что такие события будут наступать реже), или понизить степень
ущерба от наступления такого события.
Следствие 2: Необходимы универсальные показатели, характеризующие
состояние безопасности объекта, которые могут быть использованы при
измерении уровня безопасности объекта.
Следствие 3. Для оценки уровня безопасности целесообразно использовать
риск ориентированный подход.
Следствие 4. Усилия по обеспечению безопасности объекта реально сводятся
к задаче понижения риска до приемлемого уровня, не более.
19
риск-ориентированный подход.
Актив - все, что имеет ценность на объекте

[адаптировано из ГОСТ Р ИСО/МЭК 13335-1-2006];
Угроза ИБ объекта - совокупность условий и факторов,
создающих потенциальную или реально существующую
опасность нарушения свойств ИБ объекта
[адаптировано из ГОСТ Р 50922-2006];
Уязвимость ИБ актива - внутреннее свойство актива,
создающее восприимчивость к воздействию угрозы ИБ,
которое может привести к нарушению свойств ИБ
актива
[адаптировано из ГОСТ Р 50922-2006, ГОСТ Р 53114-2008,
ГОСТ Р 53114-2008].
Если уязвимость соответствует угрозе, то существует риск

[ГОСТ Р 50922-2006]
20
Для обеспечения ИБ объектов необходимо использовать риск-
ориентированный подход.
Оценка
рисков ИБ
21
Оценка
рисков ИБ
Что
защищаем? 22
От чего
защищаем?
Оценка
рисков ИБ
Что
защищаем? 23
От чего
защищаем?
Оценка
рисков ИБ
Что Как
защищаем? защищаем?
24
От чего
защищаем?
Как
контролируем?
Оценка
рисков ИБ
Что Как
25

подход.
Фундаментальные
особенности По ГОСТ ИСО/МЭК 15408
безопасности:
1) При любом
вмешательстве в
объект в первую
очередь страдает
ее безопасность
Следствие 1: при добавлении средства защиты безопасность объекта может

не улучшиться, а ухудшится.
26

подход.
«риск» – это вероятность причинения вреда с учетом его тяжести
(ст.2 Федерального закона № 184-ФЗ «О техническом регулировании»);
«риск» – это сочетание вероятности события и его последствий (результатов
событий, которые могут быть выражены качественно или количественно) (ГОСТ
Р 51897–2002 «Менеджмент риска. Термины и определения»
«риск ИБ» «риск нарушения ИБ»
«риск ИБ» - потенциальная возможность использования уязвимостей

актива или группы активов конкретной угрозой ИБ для причинения
ущерба организации. Измеряется риск ИБ исходя из комбинации
вероятности события и его последствия (ГОСТ Р ИСО/МЭК 27005–
2010);
«риск нарушения ИБ» - мера, учитывающая вероятность реализации
угрозы ИБ и величину потерь (ущерба) от реализации этой угрозы
(СТО БР ИББС 1.0–2010)
27

подход.
«Риск нарушения ИБ» - мера, учитывающая вероятность реализации угрозы
ИБ и величину потерь (ущерба) от реализации этой угрозы (СТО БР ИББС 1.0–
2010)
«УПРАВЛЕНИЕ РИСКАМИ ИБ» - скоординированная непрерывная
деятельность по руководству и управлению организацией в отношении
рисков ИБ на основе политики управления рисками ИБ и плана
обработки рисков ИБ, обычно включающие в себя установление
контекста управления рисками ИБ, оценку, обработку, принятие,
мониторинг, пересмотр и коммуникацию рисков ИБ
Составляющие управления рисками ИБ

(процессы управления рисками ИБ)
«Процесс управления рисками ИБ» - систематическое применение политик,
процедур и практик к задачам коммуникации, установления контекста,
идентификации, анализу, оцениванию, обработке, мониторинга и
28
пересмотра (переоценки) риска ИБ.

подход.
«УПРАВЛЕНИЕ РИСКАМИ ИБ» -

скоординированная непрерывная
деятельность по руководству и
управлению организацией в
отношении рисков ИБ на основе
политики управления рисками ИБ и
плана обработки рисков ИБ,
обычно включающие в себя
установление контекста
управления рисками ИБ, оценку,
обработку, принятие,
мониторинг, пересмотр и
коммуникацию рисков ИБ
29

подход.
«Управление рисками ИБ» - скоординированная непрерывная деятельность
по руководству и управлению организацией в отношении рисков ИБ на
основе политики управления рисками ИБ и плана обработки рисков ИБ,
обычно включающие в себя установление контекста управления рисками
ИБ, оценку, обработку, принятие, мониторинг, пересмотр и
«Риск ИБ» - потенциальная возможность использования уязвимостей

актива или группы активов конкретной угрозой ИБ для причинения
ущерба организации. Измеряется риск ИБ исходя из комбинации
вероятности события и его последствия (ГОСТ Р ИСО/МЭК 27005–2010);
«Оценка риска ИБ» – деятельность (процесс) по количественной оценки

вероятности реализации угроз ИБ и оценки ущерба организации. 30

подход.
«Управление рисками ИБ» - скоординированная непрерывная деятельность по руководству и
управлению организацией в отношении рисков ИБ на основе политики управления рисками ИБ
и плана обработки рисков ИБ, обычно включающие в себя установление контекста
управления рисками ИБ, оценку, обработку, принятие, мониторинг, пересмотр и
«Обработка рисков ИБ» – это процесс изменения риска ИБ, направленный на выбор и
реализацию мер по снижению риска ИБ
«Меры по снижению риска ИБ»: уменьшение (модификация), перенос, уход (избежание) от
риска ИБ;
«Уменьшение (модификация) риска ИБ» – действия, предпринятые для уменьшения

вероятности, негативных последствий или того и другого вместе, связанных с риском ИБ.
«Перенос риска ИБ» – разделение с другой стороной бремени потерь от риска ИБ. Перенос
риска ИБ может быть осуществлен страхованием или другими соглашениями
«Уход (избежание) от риска ИБ» – решение не быть вовлеченным в рискованную ситуацию
или действие, предупреждающее вовлечение в нее. Решение может быть принято на основе
результатов оценивания риска ИБ.
«Оценивание риска ИБ» - сравнение достигаемого уровня риска с уровнем допустимого риска
(риск-аппетит). 31

Активы могут рассматриваться только в контексте целей деятельности организации,
но не как иначе.
подход.
Управление инцидентами ИБ является элементом управления ИБ:

нарушения.
добиться того, что такие события будут наступать реже), или понизить степень
ущерба от наступления такого события.
32

нарушения.
добиться того, что такие события будут наступать реже), или понизить степень ущерба
от наступления такого события.
«Событие нарушения безопасности объекта» - идентифицированное
появление определенного состояния объекта, указывающего на возможное
нарушение его безопасности или нарушения в работе средств защиты,
либо возникновение ранее неизвестной ситуации, которая может иметь
отношение к безопасности.
«Инцидент безопасности» - событие, которое может негативно
повлиять на безопасность объекта 33
«Событие ИБ» - идентифицированное появление определенного
состояния актива организации (системы, сервиса или сети),
указывающего на возможное нарушение Политики ИБ или
нарушения в работе средств защиты, либо возникновение ранее
неизвестной ситуации, которая может иметь отношение к ИБ.
«Инцидент ИБ» - появление одного или нескольких нежелательных

или неожиданных событий ИБ, имеющих значительную
вероятность компрометации бизнес-операций и указывающих на
свершившуюся, предпринимаемую или вероятную реализацию
угрозы ИБ для активов организации ;
34
«Событие ИБ» - идентифицированное появление определенного состояния актива
организации (системы, сервиса или сети), указывающего на возможное нарушение
Политики ИБ или нарушения в работе средств защиты, либо возникновение ранее
неизвестной ситуации, которая может иметь отношение к ИБ.
«Инцидент ИБ» - появление одного или нескольких нежелательных или
неожиданных событий ИБ, имеющих значительную вероятность компрометации
бизнес-операций и указывающих на свершившуюся, предпринимаемую или
вероятную реализацию угрозы ИБ для активов организации
Определения[ГОСТ Р ИСО/МЭК 27001-2006]:
«Инцидент информационной безопасности»: любое непредвиденное или
нежелательное событие, которое может нарушить деятельность или
информационную безопасность.
Примеры:
- утрата услуг, оборудования или устройств;
- системные сбои или перегрузки; - ошибки пользователей;
- несоблюдение политики или рекомендаций по ИБ;
- нарушение физических мер защиты; - неконтролируемые изменения
систем;
- сбои программного обеспечения и отказы технических средств;
- нарушение правил доступа.
35
Цель управления инцидентами ИБ – обеспечение следующих условий :

события ИБ обнаружены и эффективно обработаны, в частности,
определены как относящиеся или не относящиеся к категории инцидентов
ИБ;
 идентифицированные инциденты ИБ оценены, и реагирование на них
осуществлено наиболее целесообразным и результативным способом;
негативные воздействия инцидентов ИБ на организацию и ее бизнес-
операции минимизированы соответствующими защитными мерами,
являющимися частью процесса реагирования на инцидент, иногда наряду с
применением соответствующих элементов из плана(ов) ОНБ;
из инцидентов ИБ и их управления быстро извлечены уроки. Это делается с
целью повышения шансов предотвращения инцидентов ИБ в будущем,
улучшения внедрения и использования защитных мер, улучшения общей
системы управления инцидентами ИБ.
36
Управление инцидентами ИБ - это процесс, состоящий из ряда
подпроцессов, на вход которого поступают данные, полученные в
результате сбора и протоколирования событий ИБ, а на выходе –
информация о причинах произошедшего инцидента ИБ, нанесенном
организации ущербе и мерах, которые необходимо принять для того,
чтобы инцидент ИБ не повторился вновь.
37
Определение: Назначение
Система управления инцидентами ИБ (СУИИБ) – СУИИБ
часть общей системы управления организации,

предназначенная для:
обнаружения и регистрации, оценки, классификации и
приоритезации, всестороннего исследования, обработки,
извлечения уроков и предотвращения инцидентов ИБ в дальнейшем
и включающая организационную структуру, политику,
планирование действий, обязанности,
установившийся порядок, процедуры, процессы и
ресурсы в области реагирования на инциденты ИБ.
Структура
38
СУИИБ

Для обеспечения ИБ объектов необходимо использовать процессный
подход
Активы могут рассматриваться только в контексте целей деятельности
организации, но не как иначе.
Управление инцидентами ИБ является элементом управления ИБ.
Контроль обеспечения ИБ является элементом управления ИБ:
Почему?
39
Почему?
Актуальные вопросы, возникающие на объекте, функционирующем в условиях

существования угроз в информационной сфере:
•Имеются ли в текущей конфигурации систем уязвимости, которые могут быть
использованы для несанкционированного доступа (НСД) и взлома системы?
•Насколько адекватны существующим рискам ИБ реализованные защитные меры?
•Какие контрмеры позволят реально повысить существующий уровень защиты?
•Как оценить уровень защищенности объекта и как определить, является ли он
достаточным в данной среде функционирования?
•На какие критерии оценки защищенности следует ориентироваться, и какие
показатели защищенности использовать?
Ответы: в области проверки и оценки деятельности по обеспечению ИБ
40
Еще почему?
Любые защитные меры в силу ряда объективных причин со
временем имеют тенденцию к ослаблению своей эффективности,
в результате чего общий уровень ИБ может снижаться. Это
неминуемо ведет к возрастанию рисков нарушения ИБ.
Для того, чтобы это не допустить, необходимо:

•определить процессы, обеспечивающие контроль (мониторинг и
аудит ИБ);
•оценить эффективность обеспечения ИБ, используя «процессный
подход»
Это: основа дальнейшего планирования обеспечения ИБ
41

определить процессы, обеспечивающие контроль (мониторинг и аудит
ИБ);
оценить эффективность обеспечения ИБ
Определения (ГОСТ Р 53114-2008 ЗИ. Обеспечение ИБ в организации.

Основные термины и определения):
«Мониторинг ИБ» - постоянное наблюдение за процессом обеспечения
информационной безопасности в организации с целью установить его
соответствие требованиям по информационной безопасности.
«Аудит ИБ - систематический, независимый и документируемый процесс

получения свидетельств деятельности организации по обеспечению ИБ и
установлению степени выполнения в организации критериев ИБ, а также
допускающий возможность формирования профессионального
аудиторского суждения о состоянии ИБ организации. 42

определить процессы, обеспечивающие контроль (мониторинг и аудит
ИБ);
оценить эффективность обеспечения ИБ
Определения (ГОСТ Р 53114-2008 ЗИ. Обеспечение ИБ в организации.

Основные термины и определения):
«аудит ИБ - систематический, независимый и документируемый процесс
получения свидетельств деятельности организации по обеспечению ИБ и
установлению степени выполнения в организации критериев ИБ, а также
допускающий возможность формирования профессионального
аудиторского суждения о состоянии ИБ организации.
Аудит ИБ – внутренний и внешний.
43
Самооценка ИБ

подход
Контроль обеспечения ИБ является элементом управления ИБ.
Взаимодействие с управлением непрерывностью бизнеса
44
Почему «обеспечение НБ»?

Современные проблемы нарушения или прерывания деятельности
организации:
•сбои энергетики,
•сбои поставок,
•сбои функционирования информационных и телекоммуникационных
систем,
• нарушения информационной безопасности,
•уход ключевого персонала,
•преднамеренные действия персонала,
•ошибки персонала,
•пожары, наводнения, техногенные катастрофы и т. д.
Ключевая задача, стоящая перед руководством любой организации:

непрерывное функционирования всех видов деятельности
45

В ряде высокотехнологичных отраслей, таких как, например,

телекоммуникации, непрерывность деятельности является
не просто потребностью бизнеса, но и требованием
законодательства.
Временное непредоставление услуг вне зависимости от

причин, вызвавших этот перерыв, может привести к отзыву
лицензии и, следовательно, полному прекращению
деятельности.
46
Перед каждой организацией рано или поздно встают следующие вопросы:

•насколько применим и критичен для нее тот или иной риск прерывания
бизнеса;
•как избежать данного риска или минимизировать его негативные
последствия;
•что нужно сделать заранее;
•как найти «золотую середину» между приемлемыми инвестициями в
превентивные меры (по предотвращению прерываний и минимизации их
последствий) и возможными потерями.
Ответ: внедрение процессов управления обеспечением НБ (УНБ)
УНБ - важный элемент надлежащего управления всей деятельностью

организации, предоставления ее услуг и производства продукции, а также
предпринимательской дальновидности и конкурентоспособности.
47
Управление инцидентами УНБ Управление рисками
Тактика УНБ:
•анализ рисков ИБ, связанных с чрезвычайными ситуациями (ЧС);
•установление критерии оценки возможности перерастания
инцидента ИБ в ЧС и планирование действий в данном случае;
•определение сценариев реализации ЧС, связанные с ИБ, для которых
будут разработаны соответствующие планы;
•выбор стратегии ОИБ в процессе ЧС;
•разработка, тестирование и обновление плана обеспечения
непрерывности функционирования процессов ОИБ и
соответствующих защитных мер и средств (или включение
соответствующих разделов в уже имеющиеся планы в организации);
•разработка, тестирование и обновление плана восстановления
работы защитных мер после ЧС (или включение соответствующих
48
разделов в уже имеющиеся планы в организации).

49

50

подход
Основные процессы УИБ:

1.Управление рисками ИБ.
2.Управление инцидентами ИБ.
3.Проверка и оценка деятельности по управлению ИБ
4.Взаимодействие с управлением непрерывностью бизнеса51
5.Процессный подход к ОИБ
Современный подход к ОИБ

подход
Процессный подход - это деятельность (в данном случае деятельность по
обеспечению ИБ объекта), связанная с реализацией последовательности
процессов, где каждый процесс представляет собой действие,
использующее ресурсы и управляемое для обеспечения преобразования
неких входных сущностей в выходные.
Такими сущностями могут быть или

информация, представленная в различных
формах (сообщение, сигнал, данные),
энергия (механическая, электрическая),
или вещество. Для процессов обеспечения
ИБ объектов, использующих
информационные технологии, такой
сущностью, чаще всего, будет
информация. 52
Информационная безопасность < объекта> - это состояние

защищенности активов объекта от угроз в информационной
сфере, при котором возможный ущерб активам объекта и
объекту в целом от реализации этих угроз не будет превышать
приемлемого уровня
При этом защищенность активов объекта достигается

обеспечением совокупности свойств ИБ этих активов—
доступности, целостности, конфиденциальности, а также
неотказуемости, подотчетности, аутентичности и достоверности
Обеспечение информационная безопасности (ОИБ) <объекта>
- это процессы поддержания состояния объекта ИБ (процессы
обеспечения ИБ);
Для обеспечения эффективности процессов поддержания
состояния объектов ИБ применяется «процессный подход»
53

Обеспечение информационная безопасности (ОИБ) <объекта> - это
процессы поддержания состояния объекта ИБ (процессы
Для обеспечения эффективности процессов поддержания состояния
объектов ИБ применяется «процессный подход»
«процессный подход»: деятельность по обеспечению ИБ в виде

системы процессов в пределах организации;
«процесс»: любое действие, использующее ресурсы и управляемое
для обеспечения преобразования неких входных ресурсов в
выходные ресурсы.
«бизнес-процесс»: процессы, используемые в экономической
деятельности организации.
«бизнес»: экономическая деятельность, дающая прибыль; любой вид
деятельности, приносящий доход, являющийся источником
обогащения. 54
Обеспечение информационная безопасности (ОИБ) <объекта> - это

процессы поддержания состояния активов объекта ИБ;
Процесс — любое действие, использующее ресурсы и управляемое для

обеспечения преобразования неких входных ресурсов в выходные ресурсы.
«Намеченный результат» (в зависимости от контекста) - называется

выходом, продукцией или услугой.
Входами для процесса обычно являются выходы других процессов, а
выходы процессов обычно являются входами для других процессов. Два и
более взаимосвязанных и взаимодействующих процесса процессов
совместно могут рассматриваться как процесс.
55
5.Процессный подход к ОИБ: циклическая модель
Процесс (process) — это совокупность взаимосвязанных и/или взаимодействующих
видов деятельности, использующих для получения намеченного результата
Процессом необходимо управлять.
Цель управления процессом – обеспечение эффективности (улучшения) процесса.
Реализация эффективного управления процессом - процессный подход
Процессный подход: циклическая модель (для структурирования всех процессов
управления и для обеспечения учета всех значимых элементов процессного
подхода)
PDCA (Plan-Do-Check-Act – планируй – выполняй – проверяй – действуй»)
Циклическая модель (цикл PDСA):
Предложена и развита двумя американскими
учеными и специалистами в теории
управления качеством. Шухарт (Walter A.
Shewhart, 1939 г. «Статистические
методы с точки зрения управления
качеством»)
Пропагандировалась: Деминг (William Edwards
Deming) в качестве основного способа
достижения непрерывного улучшения
процессов. 56
Управление качеством результатов деятельности организации

Модель Шухарта (1939) – три стадии:
57

Модель Шухарта (1939) – три стадии (цикличность):
58

Модель Шухарта (1939) – три стадии
Цикличность:
Первый цикл – совершенствование «Спецификации»
Последующие циклы – совершенствование «Продукции»
59

Модель Деминга (-Шухарта) – четыре стадии
60

Модель Деминга (-Шухарта) – четыре стадии
PDCA – «планируй – сделай – проверь – действуй»
PDSA – «планируй – сделай – изучи – действуй»
61
Модель Деминга (-Шухарта) – Цикл Деминга (PDCA)

«ПЛАНИРОВАНИЕ»: установление целей и процессов, необходимых
для выработки результатов в соответствии с требованиями клиентов и
политики организации;
«ВЫПОЛНЕНИЕ» («реализация»): реализация запланированных
процессов и решений;
«ПРОВЕРКА»: контроль и измерение
процессов и производимых
продуктов относительно политик,
целей и требований к продукции и
отчетность о результатах;
«ДЕЙСТВИЕ» («совершенствование»):
принятие корректирующих и
превентивных мер для постоянного
совершенствования
функционирования процесса. 62
Модель Деминга (-Шухарта) – Цикл Деминга (PDCA)

ШИРОКОЕ применение («волшебный цикл»):
Национальные стандарты:
ГОСТ Р ИСО/МЭК 27001-2006;
ГОСТ Р ИСО 9000 (качество);
ГОСТ Р ИСО 14000 (экология).
Отраслевые стандарты:
СБР ИББС-1.0-2014 (Банк России);
автомобилестроение; поставка;
безопасность продуктов питания
Направления деятельности:
безопасность (экономическая, физическая,
информационная и пр.)
В основе практики реализации модели Деминга лежит

процессный подход 63
Информационная безопасность < объекта> - это состояние

защищенности активов объекта от угроз в информационной
сфере, при котором возможный ущерб активам объекта и
объекту в целом от реализации этих угроз не будет превышать
приемлемого уровня
При этом защищенность активов объекта достигается

обеспечением совокупности свойств ИБ этих активов—
доступности, целостности, конфиденциальности, а также
неотказуемости, подотчетности, аутентичности и достоверности
Обеспечение информационная безопасности (ОИБ) <объекта>

- это процессы поддержания состояния объекта ИБ (процессы
Система обеспечения ИБ объекта – это совокупность процессов
обеспечения ИБ;
64
Система обеспечения ИБ объекта – это совокупность процессов

обеспечения ИБ;
Процессы обеспечения ИБ – процессы защиты информации и
процессы управления ИБ;
Защита информации (ЗИ) – это деятельность, направленная на
предотвращение утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на
защищаемую информацию [ГОСТ Р 50922-2006];
Деятельность – это процесс.
Утечка защищаемой информации – нарушение конфиденциальности.
Несанкционированное или непреднамеренное воздействие на информацию
– нарушение доступности и целостности.
Система обеспечения ИБ (СОИБ) объекта – состоит из двух
систем:
системы защиты информации (СЗИ) и системы управления ИБ
(СУИБ):
СОИБ = СЗИ + СУИБ 65
Система обеспечения ИБ (СОИБ) объекта – состоит из двух

систем:
системы защиты информации (СЗИ) и системы управления ИБ
(СУИБ):
СОИБ = СЗИ + СУИБ
Система управления ИБ (СУИБ) – состоит из двух подсистем:

•подсистемы управления защитой информации (СУЗИ) - процессы
управления, которые направлены на обеспечение полноты и качества ЗИ,
предназначенные для планирования, реализации, контроля и
совершенствования процессов СЗИ.
•подсистемы управления обеспечением ИБ (СУОИБ) – процессы
управления , которые направлены на обеспечение полноты и качества
обеспечения ИБ, предназначенные для планирования, реализации,
контроля и совершенствования системы обеспечения ИБ (СОИБ) в целом
СУИБ = СУЗИ + СУОИБ
66
СУИБ = СУЗИ + СУОИБ
67
Управление ИБ
«Управление» - осуществление совокупности непрерывных взаимосвязанных воздействий на
объект (управляемую систему), выбранных из множества возможных воздействий на основании
информации о поведении объекта и состоянии внешней среды для достижения заданной цели;
Пояснения
•Control – исторически первый из применяемых в информационных технологиях (ИТ) терминов,
отражающий самые простейшие операции в области управления, в большей степени с точки
зрения технического аспекта деятельности.
•Management – термин, который первоначально употреблялся в отношении управления
человеческими ресурсами; в настоящее время встречается в сочетании с множеством понятий из
области ИТ и имеет смысл организации и регулирования какой-либо деятельности, т. е. ее
администрирования.
•Governance – термин, который стал активно использоваться применительно к ИТ только в
последнем десятилетии; под ним обычно понимается руководство по организации и контролю за
какой-либо деятельностью. Это слово переводится на русский как «власть, руководство,
управление».
«Менеджмент» - скоординированная деятельность по руководству и управлению организацией.
Менеджмент может включать установление политик, целей и процессов для достижения этих
целей. [ГОСТ Р ИСО 9000-2015].
Выводы:
1.Иногда делают вывод, что понятие менеджмента шире, чем просто управление.
2.Для ИБ более подходит термин «менеджмент ИБ»
68

Управление ИБ
«Управление» - осуществление совокупности непрерывных
взаимосвязанных воздействий на объект (управляемую систему),
выбранных из множества возможных воздействий на основании
информации о поведении объекта и состоянии внешней среды для
достижения заданной цели; «Менеджмент» - скоординированная
деятельность по руководству и управлению организацией.
«Менеджмент» может включать установление политик, целей и
процессов для достижения этих целей [ГОСТ Р ИСО 9000-2015].
Управление (менеджмент) ИБ (УИБ) включает в себя наблюдение и
принятие решений, необходимых для достижения бизнес-целей
посредством защиты информационных активов организации. УИБ
выражается через формулирование и использование политик ИБ,
стандартов, процедур и рекомендаций, которые применяются
повсеместно в организации всеми лицами, связанными с ней [ГОСТ Р
ИСО 27000-2021]. 69
Система управления ИБ
«Управление» - осуществление совокупности непрерывных взаимосвязанных
воздействий на объект (управляемую систему), выбранных из множества
возможных воздействий на основании информации о поведении объекта и
состоянии внешней среды для достижения заданной цели; «Менеджмент» -
скоординированная деятельность по руководству и управлению организацией.
«Система управления (менеджмента)» - система, включающая в себя политики,
процедуры, рекомендации и связанные с ними ресурсы для достижения целей
организации [ГОСТ Р ИСО 27000-2012].
«Система управления (менеджмента) ИБ» (СУИБ) - представляет модель для
создания, внедрения, функционирования, мониторинга, анализа, поддержки и
улучшения защиты информационных активов для достижения деловых целей,
основанную на оценке риска и на принятии уровней риска организации,
разработанную для эффективного рассмотрения и управления рисками [ГОСТ Р ИСО
27000-2012].
Выводы:
СУИБ – это совокупность процессов управления ИБ, относящихся к созданию,
внедрению, функционированию, мониторингу, анализу, поддержке и улучшению
защиты информационных активов для достижения деловых целей.
СУИБ - основана на оценке рисков ИБ и на принятии определенного уровня риска ИБ.
СУИБ – предназначена для эффективного рассмотрения и управления рисками. 70
От чего
защищаем?
Как
контролируем?
Оценка
рисков ИБ
Что Как
71
СУИБ – это совокупность процессов управления ИБ, относящихся к созданию, внедрению, функционированию, мониторингу, анализу, поддержке и улучшению защиты
информационных активов для достижения деловых целей.
72

73
Основные принципы успешной реализации СУИБ:

• понимание необходимости системы обеспечения ИБ (СОИБ);
• назначение ответственности за ИБ;
• соединение административных обязанностей и интересов
заинтересованных лиц;
• возрастание социальных ценностей;
• оценка риска, определяющая соответствующие меры и средства
контроля и управления для достижения допустимых уровней риска;
• безопасность как неотъемлемый существенный элемент
информационных сетей и систем;
• активное предупреждение и выявление инцидентов ИБ;
• обеспечение комплексного подхода к управлению ИБ;
• непрерывная переоценка и соответствующая модификация СОИБ
безопасности.
74

СУИБ: часть общей системы

менеджмента, основанная на
использовании методов оценки
бизнес-рисков для разработки,
внедрения, функционирования,
мониторинга, анализа,
поддержки и улучшения ИБ.
[ГОСТ Р ИСО/МЭК 27000-2012]
Примечание - СУИБ включает в себя организационную структуру,

политики, деятельность по планированию, распределение
ответственности, практическую деятельность, процедуры, процессы и
ресурсы. 75
Определение:
«Система управления ИБ объекта - часть общей системы
управления объекта, основанная на подходе оценки и анализа
рисков, предназначена (назначение СУИБ) для разработки,
внедрения, эксплуатации, постоянного контроля, анализа,
поддержания и улучшения системы обеспечения ИБ (СОИБ), и
включающая (структура СУИБ) организационную структуру,
политику, планирование действий, обязанности,
установившийся порядок, процедуры, процессы и ресурсы в
области ИБ
76
СУИБ: выполняет следующие функции:
•реализует целенаправленный, систематический и комплексный
подход к управлению ИБ защищаемых активов, что приводит к
повышению текущего уровня их защищенности;
•объединяет все применяемые в организации защитные и
организационные меры в (КСЗИ), позволяющий достигать цели
обеспечения ИБ на уровне всей организации;
•позволяет четко установить, как взаимосвязаны процессы и
подсистемы обеспечения ИБ (КСЗИ), кто за них отвечает, какие
финансовые и трудовые ресурсы необходимы для их эффективного
функционирования и т. д.;
•проводит процесс выполнения ПолИБ и позволяет находить и
устранять слабые места в обеспечении ИБ;
•охватывает людей, процессы и ИТ-структуру организации. 77
СУИБ - Выгоды от использования СУИБ (начало):
•обеспечение соответствия уровня ИБ законодательным,
отраслевым, контрактным, внутрикорпоративным требованиям
и целям бизнеса;
•доказательство стремления высшего руководства к ОИБ в
необходимом объеме для всей организации в соответствии с
установленными требованиями;
•повышение доверия партнеров, клиентов, заказчиков за счет
демонстрации высокого уровня ОИБ всем заинтересованным
сторонам;
•управляемое ОИБ и контролируемое управление ИБ (особенно
в критичных ситуациях);
•систематизация процессов ОИБ;
•расстановка приоритетов в области обеспечения ИБ;
•достижение «прозрачности» в ОИБ;
•обеспечение понятности защищаемых активов для руководства;78
СУИБ - Выгоды от использования СУИБ (окончание):
•выявление угроз ИБ для бизнес-процессов;
•достижение адекватности ОИБ существующим рискам;
•предупреждение возникновения инцидентов ИБ и снижение ущерба
в случае их возникновения;
•повышение культуры ИБ в организации;
•интеграция защитных мер в бизнес-процессы;
•оптимизация (за счет формализации всех процессов ОИБ) и
обоснование расходов на ИБ;
•снижение финансовых рисков и рисков прямых потерь;
•снижение рисков для инвесторов за счет повышения прозрачности
процессов внутри организации;
•экономия времени, ресурсов и затрат на начальной стадии сбора
информации при проведении любых аудитов ИБ;
•создание информации, порождаемой в процессе использования
СУИБ, для всех заинтересованных сторон и т. д. 79
Благодарю за внимание!

AITolstoj@mephi.ru

4 Концептуальные Основы ОИБЧасть 2 21

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

4 Концептуальные Основы ОИБЧасть 2 21

Загружено:

Авторское право:

Доступные форматы

Концептуальные основы

Толстой Александр Иванович

Москва, февраль 2021

Традиционный подход Современный подход

Москва, февраль 2021

3.Фундаментальные особенности безопасности

4.Современный подход к обеспечению ИБ

5.Процессный подход к обеспечению ИБ

6.Системный подход к обеспечению ИБ

3.Фундаментальные особенности безопасности

3.Фундаментальные особенности безопасности

Первая фундаментальная особенность безопасности:

Следствие 1: при добавлении средства защиты безопасность объекта

Таким образом, решение внедрить КСЗИ на объекте может привести не к улучшению

3.Фундаментальные особенности безопасности

Вторая фундаментальная особенность безопасности:

Третья фундаментальная особенность безопасности:

Следствие 2: необходимы универсальные показатели, характеризующие

Традиционная методология такой возможности не имеет.

Четвертая фундаментальная особенность безопасности:

Традиционная методология такой возможности не имеет.

3.Фундаментальные особенности безопасности

Анализ причин наблюдаемой на практике

Информационная безопасность объекта - это состояние защищенности

Обеспечение ИБ – это системный процесс, а не состояние.

Процессом надо управлять!

Эффективность обеспечения ИБ определяется эффективностью управления

Информационная безопасность объекта - это состояние защищенности

Обеспечение ИБ – это системный процесс, а не состояние.

Процессом надо управлять!

Эффективность обеспечения ИБ определяется эффективностью управления

Для обеспечения ИБ объектов необходимо использовать управленческий

4.Современный подход к обеспечению ИБ

Процессный подход - это деятельность (в данном случае деятельность по

Такими сущностями могут быть или

Деятельность организации осуществляется через реализацию трех

Для обеспечения ИБ объектов необходимо использовать управленческий

Конфликт целей собственника и

4.Современный подход к обеспечению ИБ

Актив - все, что имеет ценность на объекте

Если уязвимость соответствует угрозе, то существует риск

4.Современный подход к обеспечению ИБ

Для обеспечения ИБ объектов необходимо использовать риск-ориентированный

Следствие 1: при добавлении средства защиты безопасность объекта может

4.Современный подход к обеспечению ИБ

«риск ИБ» «риск нарушения ИБ»

«риск ИБ» - потенциальная возможность использования уязвимостей

Для обеспечения ИБ объектов необходимо использовать риск-ориентированный

Составляющие управления рисками ИБ

4.Современный подход к обеспечению ИБ

Для обеспечения ИБ объектов необходимо использовать риск-ориентированный

«УПРАВЛЕНИЕ РИСКАМИ ИБ» -

4.Современный подход к обеспечению ИБ

Для обеспечения ИБ объектов необходимо использовать риск-ориентированный

«Риск ИБ» - потенциальная возможность использования уязвимостей

«Оценка риска ИБ» – деятельность (процесс) по количественной оценки

4.Современный подход к обеспечению ИБ

«Уменьшение (модификация) риска ИБ» – действия, предпринятые для уменьшения

4.Современный подход к обеспечению ИБ

Для обеспечения ИБ объектов необходимо использовать управленческий

Фундаментальные особенности безопасности:

2) Безопасность никогда не бывает абсолютной — всегда есть некий риск ее

4.Современный подход к обеспечению ИБ

Управление инцидентами ИБ является элементом управления ИБ: