Информационная безопасность в ITIL Владимир Булдыжов, CISM 1.Общая проблематика ИТ и ИБ. 2.Методы внедрения ITIL и процессов ИБ. 3.Информационная безопасность как ИТ-услуга.

Общая проблематика ИТ и ИБ

Информационная безопасность в ITIL Общая проблематика служб ИТ и ИБ Обоснование инвестиций и определение экономической эффективности. Подразделения ИТ и ИБ в коммерческой компании являются затратным (неприбыльным). С годами растет количество обрабатываемых данных, количество услуг, соответственно, затраты на ИТ. Бизнес не имеет достаточно инструментов управления инвестициями в ИТ/ИБ, а проще говоря, не видит, на что именно идут его деньги. Управление инвестициями во многих случаях строится на доверии к CIO/CISO. Формально обосновать деятельность ИБ ещё труднее, поскольку служба ИБ зачастую оперирует абстрактными для бизнеса понятиями (целостность, доступность, конфиденциальность). Работа службы ИБ часто создает неудобства пользователям и ИТ. Независимо от вида подчиненности службы ИБ, в случае её бездеятельности снижается её влияние, в случае неэффективной деятельности – доверие к ней. ИБ – это постоянный поиск компромиссов.

Общая проблематика служб ИТ и ИБ Информационная безопасность в ITIL Традиционный подход: управление, основанное на доверии. Получаемый кредит доверия (в том числе, в финансовом выражении), расходуется руководством службам ИТ и ИБ не только на прямо формулируемые цели бизнеса, но и на косвенные цели, служебные сервисы. – Мой тренер не ставил на меня на скачках. Пришлось доказать. Достижения идут в актив, неудачи – в пассив. Происходит алгебраическое сложение уровня доверия. В конечном итоге, руководство компании отстранено от принятия решений в ИТ/ИБ и может принять только одно решение: уменьшить или увеличить финансирование. Подход непрозрачен для бизнеса, который хочет полнее управлять своими инвестициями, при этом не вдаваясь в технические детали ИТ и ИБ.

Информационная безопасность в ITIL Общая проблематика. Международные методики Актуальность. ITIL был создан во время экономического кризиса в Великобритании в конце 80-х. Главная цель – экономическая эффективность ИТ. Стандарты – не панацея. В каждой организации есть уникальные процессы или объекты, защита которых не описана в стандартах/практиках (или трудно найти). Методики и стандарты – это удобные инструменты, хорошо согласующиеся друг с другом и взаимно дополняющие друг друга (ISO, COBIT, ITIL, PCI DSS). Каждая методика имеет свои сильные места, концентрируясь на своём уровне абстракции. COBIT и ISO говорят «что» нужно делать, ITIL, особенно ITIL V2, – «как». Методические цели стандартов и лучших практик: - предоставить структурную основу, призванную упорядочить знания, облегчить их использование и передачу, - обеспечить общий язык между специалистами, руководством, бизнесом, поставщиками.

Информационная безопасность в ITIL Общая проблематика. Международные методики Гармоничное совместное развитие ITIL, ISO и COBIT. Переработка структуры ITIL при переходе от V2 к V3 говорит, с одной стороны, об оперативности отражения лучшего мирового опыта по сравнению со стандартами, с другой стороны, о заимствовании лучшего из других стандартов (домены из CobiT, цикл управления качеством из ISO 9000). Есть мнение, что ITIL 3 более «тяжел» по сравнению с ITIL 2 и труден в применении небольшими компаниями. Ничто не мешает применять старую версию, или даже обе версии сразу. Не исключено, что ITIL 2 некоторое время будет существовать одновременно с ITIL 3 как отдельная ветка. Инициатор и главный архитектор ITIL 3. Sharon Taylor, Chief Architect and Chief Examiner of ITIL, President of the Aspect Group, President of the Institute of Certified Service Managers (ICSM) in North America, and Chair of the itSMF International Publications Executive Committee (IPESC).

Методы внедрения ITIL и процессов ИБ

Информационная безопасность в ITIL Методы старта ITIL и «быстрые» выгоды для ИБ Минус: ITIL не регламентирует последовательности внедрения. Обычно начинают с SLA, ServiceDesk и CMDB/CMS. Это ещё не ITIL, но даёт быстрый результат. Для ИБ это: SLA + ServiceDesk + CMDB режим доступа, разрешительная система, контроль и мониторинг доступа; SLA + ServiceDesk (+ Application Management) безопасность приложений, антивирусная безопасность; ServiceDesk управление инцидентами ИБ (инциденты/проблемы ИТ инциденты/риски ИБ); CMDB мониторинг ИБ, расследования ИБ, управление проектами по ИБ инфраструктуры.

Информационная безопасность в ITIL Методы старта. Приоритет процесса над решением. При одновременном внедрении процесса и решения, важно некоторое время проделать процесс вручную, чтобы по- настоящему понять и оценить его, без привязки к решению. Пример: внедрение проектного управления в двух организациях. В одной сразу стали учить инструментарию, в другой заставили сотрудников поработать вручную. В первой организации пользователи поняли суть процесса поверхностно. Привязка к версии, повторное обучение. Эффект от внедрения во второй оказался сильнее. Пользователи хорошо понимали процесс и при внедрении решения были благодарны за автоматизацию рутины.

Информационная безопасность в ITIL Методы старта. Простейшая CMDB :1 nbtscan -b /16 >>%date% goto 1 Алла Безручко, автор NBTscan Задача: инвентаризация связок IP-UNC-Login-MAC, отслеживание во времени. Решение (утрировано): Задача: инвентаризация оборудования и основных параметров ПО серверов и ПК, отслеживание. Решение: Ключевые строки кода на CygWin: nmap -sS -P0 -p 139,445 -T%3 %1%2 - oG results\net_hosts.tmp... psinfo \\%j -d -c -t ; 2>>results\error.log | tr "\r" "\n" | grep days | sed "s/\(Activated;\)\|\(Error\ reading\ status;\)//" >results\psinfo.tmp

Информационная безопасность в ITIL Методы старта. Основные процессы ИБ в ITIL 1.Стратегия услуг (SS). Трудности и риски. Активы сервисов и создание ценности, управление портфолио сервисов. 2.Проектирование услуг (SD). Собственно информационная безопасность, трудности и риски, непрерывность сервисов ИТ, мощность и доступность. Детализация: SLA, BIA, управление приложениями, роли и инструменты, документация, управление каталогом сервисов, управление поставщиками и третьими сторонами. 3.Развертывание услуг (ST). Трудности и риски, управление изменениями, цели/ принципы/ политики/ контекст/ роли/ модели, типы активов. Доп.: управление конфигурациями и CMDB/CMS, управление коммуникациями и согласованиями, внедрение и развертывание сервисов. 4.Оказание услуг (SO). Информационная и физическая безопасность, роли/ обязанности и орг. структуры, управление доступом, события/ инциденты/ проблемы, управление изменениями/ проектами/ рисками, отслеживание и управление. Доп.: коммуникации, техническое/ операционное управление/ управление приложениями, диспетчерская служба, документация. 5.Постоянное улучшение услуг (CSI). Трудности и риски, матрица полномочий RACI, роли. Доп.: коммуникации, измерения сервисов, управление знаниями, ROI и вопросы бизнеса.

Информационная безопасность как ИТ-услуга

Информационная безопасность в ITIL Общий язык с руководством почти не изменился ИБ не является продуктом, разовой услугой или пакетом мероприятий, – это непрерывный системный комплексный процесс. Этот процесс интегрирован во все бизнес-процессы предприятия, требует участия всех без исключения сотрудников предприятия. Стопроцентная ИБ недостижима. Термин «обеспечение безопасности» устарел. Сейчас говорят об управлении безопасностью. Данное управление – оптимизационная задача поиска компромисса между уровнем защиты и её ценой. Причем, ценой являются как разовые инвестиции, так и постоянные. Оптимальность инвестиций можно достичь, только применяя методы управления рисками. Умная служба ИБ распределяет ресурсы в соответствии с величиной рисков, а не конкретных нарушений. Мудрая служба делает управление ИБ прозрачным для высшего руководства компании и инвесторов и предоставляет им инструменты управления инвестициями и проектами по снижению рисков.

Информационная безопасность в ITIL Является ли информационная безопасность ИТ- услугой? Если служба ИБ находится в составе службы ИТ (наиболее распространенный случай в мире), то ИБ может предоставляться как обязательная услуга («в нагрузку»). Стоимость услуги включается в тарифы на основные услуги SLA. Логика есть, но подход непрозрачный. Согласно ITIL, формализовать информационную безопасность можно только частично, в двух аспектах: базовая безопасность; Service/Business Continuity Management (BCM).

Информационная безопасность в ITIL Базовая ИБ по ISO Разработка и внедрение документов политик ИБ. 2.Распределение обязанностей по ИБ. 3.Повышение осведомленности, обучение и тренинги по ИБ. 4.Правильная обработка в приложениях. 5.Управление техническими уязвимостями. 6.Управление непрерывностью бизнеса. 7.Управление инцидентами ИБ. 1.Защита личной информации. 2.Защита записей организации. 3.Защита прав интеллектуальной собственности. См. статью «Сохранение информационных активов» в журнале «Корпоративные системы» за 12/2008, либо на сайте раздел «Аналитика».

Информационная безопасность в ITIL Структура ISO (бывший ISO 17799) Альтернативный перевод ISO – – Методология. 1.Security Policy (1) – политика безопасности; 2.Organizing Information Security (2) – организация ИБ; 3.Asset Management (2) – управление активами; 4.Human Resources Security (3) – управление персоналом; 5.Physical and Environmental Security (2) – физическая безопасность и безопасность окружения; 6.Communications and Operations Management (10) – управление коммуникациями и операциями; 7.Access Control (7) – управление доступом; 8.Information Systems Acquisition, Development and Maintenance (6) – приобретение, разработка и поддержка информационных систем; 9.Information Security Incident Management (2) – управление инцидентами ИБ; 10.Business Continuity Management (1) – управление непрерывностью бизнеса; 11.Compliance (3) – соответствие законодательству.

Информационная безопасность в ITIL Управление инцидентами ИБ Важность журнала событий ИБ. Не имея статистики инцидентов, трудно обосновать вложения в ИБ, а в дальнейшем – правильно рассчитать риски и оптимизировать вложения. Управление инцидентами является одной из наиболее важных обнаруживающих мер, необходимых для снижения ущерба. Единая точка входа. Каждый сотрудник организации должен знать, куда ему обращаться в случае нарушения или подозрения. Если в организации внедрена диспетчерская служба ИТ (Service Desk), лучше всего использовать принцип «единой точки входа». Диспетчерская служба должна уметь отличить, выражаясь языком ITIL, инцидент ИТ от инцидента ИБ и, в случае необходимости, эскалировать событие на команду реагирования на инциденты (IRT), роль которой обычно выполняет служба ИБ. IRT должна уметь: отсеять ложные срабатывания, оценить серьезность инцидента, принять меры сдерживания (ограничения области его охвата), защитить улики, классифицировать и зарегистрировать инцидент, оценить допустимые сроки ликвидации инцидента и принять решение о дальнейшей эскалации, ликвидировать и закрыть инцидент, проанализировать его причины, провести расследование, а также, в идеале, внести соответствующие изменения в анализ рисков или матрицу рисков.

Информационная безопасность в ITIL Управление непрерывностью бизнеса Простой вариант формализации BCM в SLA. ИТ-услуги разделяются на разовые и постоянные (разовых больше). Кроме того, услуги могут группироваться по признакам. Определяются параметры качества каждой группы ИТ-услуг. Для разовых: время реакции на заявку, время частичного предоставления, время выполнения. Для постоянных: время реакции на инцидент, время частичного восстановления услуги в случае её прекращения или недопустимого снижения качества, время полного восстановления. Определяются индивидуальные параметры качества каждой услуги (пропускная способность интернет, скорость реакции сайта, доступное дисковое пространство на файловом сервере, доля спама среди писем, количество ложных срабатываний антивируса, максимальный размер группы на занятиях по повышению квалификации). Если требования качества у разных клиентов разные (то есть, если есть "богатые" и «бедные» клиенты), определяются разные наборы параметров качества, по сути, разные SLA (normal/ VIP, silver/ gold/ platinum support).

Информационная безопасность в ITIL Управление непрерывностью бизнеса Полноценный вариант формализации BCM в SLA (IT Governance). Терминология BCP/DRM. Incident Response Planning (IRP) – то же, что BCP, но фокусируется только на уязвимостях и угрозах ИБ. BIA – это анализ рисков доступности. После BIA разрабатывается BCP. BIA/BCP фокусируются на доступности. BCP включает в себя DRP. Recovery criteria, это часть BCP, описывающая, что считается аварией, что нет, когда нужно начинать восстанавливать данные/сервисы. Service Delivery Objective (SDO) – это SLA аварийного режима. Параметры BCM, фиксируемые в SLA: RPO и любые 2 из 3 параметров AIW, RTO, MTO. [Acceptable] Interruption Window – максимально допустимое время простоя. Recovery Point Objective (RPO) = цель восстановления, последнее известное приемлемое состояние данных или системы (определяет максимально допустимые потери данных, т. е. "возраст" восстанавливаемых данных). RTO – допустимое время восстановления, должно быть меньше AIW. RTO = IW + MTO (где SDO в качестве SLA).

Информационная безопасность в ITIL Отчет по анализу рисков – основной документ при управлении рисками. Управление рисками – дальнейшее развитие ИБ.

Информационная безопасность в ITIL Управление рисками – дальнейшее развитие ИБ. Средства управления (controls) = Положение о применимости согласно ISO

Информационная безопасность в ITIL Управление рисками – дальнейшее развитие ИБ. Матрица рисков – автоматизация контроля полноты охвата рисков.

Информационная безопасность в ITIL Рекомендации по внедрению ITIL, ISO, CobiT для ИБ Промежуточная цель – извлечение самого лучшего (вариант – самого понятного или приемлемого) из всех стандартов, адаптация и применение в виде утвержденных корпоративных практик для получения первых результатов и создания ценности средствами ИТ. Одновременное внедрение данных трех методик создает эффект синергии. Допустимо разделение по структурной подчиненности служб, например: ITIL – ИТ, ISO – ИБ, COBIT – финансовая служба. ISACA постоянно выпускает руководства по гармонизации и внедрению данных лучших практик (см. Aligning CobiT® 4.1, ITIL® V3 and ISO/IEC for Business Benefit). Маркетинг ИБ. Умение подать и продать услуги ИБ. Классические цели, такие как конфиденциальность, целостность, доступность, наблюдаемость, подлинность, отчетность, апеллируемость, надежность – для бизнеса неизмеримы и неосязаемы. Умение выделить суть, сжать, перевести на язык бизнеса. Смежные функции. Риск-менеджмент, экономическая безопасность, обеспечение соблюдения законодательства, нормативные и методические функции.

Информационная безопасность в ITIL Выводы по внедрению ITIL, ISO, CobiT Понимание сути, «духа» ITSM не менее важны быстрого внедрения решений. Аналогия: организационные меры по защите информации важнее технических (выгоднее по соотношению затраты/результат). Западные методики и практики гармоничны, гармонизируют традиционно непростые отношения служб ИТ и ИБ, но не являются быстрым и простым решением всех проблем, а требуют локализации и адаптации. Многое есть в отечественных методиках (диспетчеризация ServiceDesk, каталог оборудования CMDB, сетевое планирование PM), но многое незаслуженно забыто. ITIL декларирует безразличие к типу поставщика (инсорсинг, аутсорсинг), однако на практике лучше приживается в аутсорсинге. Заслуга ITIL для инсорсинга в быстром повышении эффективности ИТ и ИБ, введении рыночных отношений и категорий, повышении экономической эффективности ИТ и ИБ, следовательно, зрелости служб ИТ и ИБ, значит и ценности её сотрудников (специалист менеджер).

ISACA

Информационная безопасность в ITIL Ассоциации ISACA исполняется 40 лет в 2009 году Lynn Lawton, CISA, FCA, FIIA, PIIA, a director at KPMG LLP in Watford, UK, international president of ISACA. ISACA – авторитетный источник знаний и лучших практик, автор стандартов COBIT и ValIT, концепции IT Governance, методик аудита и управления ИТ, обучающих, исследовательских и аналитических материалов. Издается журнал, проводятся конференции, в том числе в режиме онлайн. В 70 странах 175 официальных филиалов. В 160 странах 75 тыс. членов организации. В Украине формируется филиал. Ранее ISACA расшифровывалась как Information Systems Audit and Control Association. Сфера компетенции была расширена (стратегическое управление ИТ, управление инвестициями, обеспечение соответствия регулятивным нормам, менеджмент информационной безопасности, управление рисками, непрерывностью бизнеса, инцидентами и т. д.). Поэтому сейчас акроним ISACA не раскрывается. Обучение – приоритет ISACA International и Kyiv chapter-in-formation. Проводится обучение и сертификация специалистов в области аудита (CISA), информационной безопасности (CISM) и управления ИТ (CGEIT). На базе Kyiv chapter-in-formation и компании Ernst&Young плодотворно функционирует сертификационный центр CISA/CISM.

Тренинг Certified Information Security Manager Информационная безопасность в ITIL В период экономического спада задача сохранения активов в компаниях получает высший приоритет (угрозы: преступность, социальная напряженность). Сертифицированный специалист по ИБ резко повышает свою стоимость на рынке труда. Тренинг является независимым от производителей программно- аппаратных решений и проводится в Украине впервые. Эволюция специалиста по ИБ в менеджера ИБ отвечает ожиданиям бизнеса по росту зрелости ИТ- и ИБ-персонала. Сертификация CISM является одной из наиболее престижных и востребованных во всем мире.