Статьи

Інформаційна безпека і стандарт CobiT

У бесідах з фахівцями з інформаційної безпеки часто виявляється, що погляди і термінологія в цій щодо нової області розрізняються іноді аж до протилежних. При прямому питанні про визначення інформаційної безпеки можна почути такі різнорівневі терміни, як «захист даних», «контроль використання», «боротьба з хакерами» і т. Д.

Тим часом існують сформовані визначення самої інформаційної безпеки і примикає до неї кола понять. Іноді вони розрізняються у різних фахівців (або шкіл). Трапляється, що в визначеннях просто використовують синоніми, іноді - міняються місцями навіть цілі групи понять. Тому спочатку необхідно чітко визначитися з основними поняттями інформаційної безпеки.

Під інформаційною безпекою будемо розуміти стан захищеності інформації та інформаційного середовища від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин, в тому числі власникам і користувачам інформації [3, с. 4].

Найпоширеніша модель інформаційної безпеки базується на забезпеченні трьох властивостей інформації: конфіденційність, цілісність і доступність.

Конфіденційність інформації означає, що з нею може ознайомитися тільки строго обмежене коло осіб, певний її власником. Якщо доступ до інформації отримує неуповноважена особа, відбувається втрата конфіденційності. Для деяких типів інформації конфіденційність є одним з найбільш важливих атрибутів (наприклад, дані стратегічних досліджень, медичні та страхові записи, специфікації нових виробів, відомості про клієнтів банку та їхніх рахунках, а також злочинів, скоєних ними операцій за вказаними рахунками, відомості про кредиторів, податкові дані і т.п.).

Цілісність інформації визначається її здатністю зберігатися в неспотвореному вигляді. Неправомірні, і не передбачені власником зміни інформації (в результаті помилки оператора або навмисного дії неуповноваженого особи) призводять до втрати цілісності. Цілісність особливо важлива для даних, пов'язаних з функціонуванням об'єктів критичних інфраструктур (наприклад, управління повітряним рухом, енергопостачання і т. Д.), Фінансових даних.

Доступність інформації визначається здатністю системи надавати своєчасний безперешкодний доступ до інформації суб'єктам, що володіє відповідними повноваженнями. Знищення або блокування інформації (в результаті помилки або навмисного дії) призводить до втрати доступності. Доступність - важливий атрибут для функціонування інформаційних систем, орієнтованих на обслуговування клієнтів (системи продажу залізничних квитків, поширення оновлень програмного забезпечення) [3, с. 4].

Крім перерахованих трьох властивостей додатково виділяють ще дві властивості, важливих для інформаційної безпеки: автентичність і апелліруемость.

Автентичність - можливість достовірно встановити автора повідомлення.

Апелліруемость - можливість довести, що автором є саме ця людина і ніхто інший.

Як навчальна і наукова дисципліна інформаційна безпека досліджує природу перерахованих властивостей інформації, вивчає загрози цим властивостям, а також методи і засоби протидії таким загрозам (захист інформації).

Як прикладна дисципліна інформаційна безпека займається забезпеченням цих ключових властивостей, зокрема, шляхом розробки захищених інформаційних систем [3, с.5].

З розвитком суспільства розвивалися і інформаційні технології, що застосовуються для забезпечення інформаційної безпеки. Однак, поряд з постійним вдосконаленням технічних засобів і програмних засобів захисту, важливим був і залишається питання вироблення професійного підходу до управління і систематичного обстеження інформаційних технологій за міжнародними стандартами, що дозволяє компенсувати на перший погляд невидимі, але суттєві недоліки в організації виробничих процесів. Побудова грамотної структури управління, створення ефективної вертикалі прийняття рішення і системи контролю безпосередньо залежать від стану інформаційних технологій, від їх ефективності, продуктивності, безпеки, надійності та інших не менш важливих показників [4]. Таким чином, перед керівником незаперечно виникає проблема вибору методологічного засобу, на основі якого буде побудована система управління і контролю. На сьогоднішній день відчутного недоліку в стандартах немає. Такі стандарти, як ISO 27001, ISO 27002, ITIL і інші, вже застосовуються і в російській практиці, більш того, інтерес до них незмінно зростає. Всі вони практично в рівній мірі наділені певними перевагами і недоліками, перш за все через функціональної спрямованості і специфічної сфери застосування. Будь-якому ж користувачеві цікавий, перш за все, комплексний підхід до вирішення, тим більше в такому об'ємному і багатогранному питанні, як управління і контроль ІТ. Розглянемо більш докладно один з існуючих рішень - стандарт CobiT.

CobiT - підхід до управління інформаційними технологіями, створений Асоціацією контролю і аудиту систем (Information Systems Audit and Control Association - ISACA) та Інститутом керівництва ІТ (IT Governance Institute - ITGI) в 1992 році. Він надає менеджерам, аудиторам і ІТ користувачам набір затверджених метрик, процесів і кращих практик з метою допомогти їм в отриманні максимальної вигоди від використання інформаційних технологій і для розробки відповідного керівництва і контролю ІТ в компанії [2].

Абревіатура CobiT розшифровується як Контрольні об'єкти для Інформаційних і суміжних Технологій. За цією абревіатурою ховається набір документів, в яких викладено принципи управління та аудиту інформаційних технологій. CobiT позиціонується як відкритий стандарт «де-факто» [4].

Історія розвитку стандарту CobiT може бути представлена ​​у вигляді наступного малюнка (рис. 1).

Мал Мал. 1. Еволюція стандарту CobiT [1]

Перша редакція стандарту побачила світ в 1996 році. Стандарт CobiT, зберігаючи спадкоємність основним принципам та ідеям, постійно вдосконалювався. На сьогоднішній день ряд підприємств поступово переходять на його п'яту версію.

Саме COBIT 5 буде детально розглянуто в рамках даної роботи. Перш за все зазначимо, що структура стандарту була закладена в попередніх його версіях, в основному в третій. Редакції 4.0 і 4.1, створені в 2005 і 2007 роках відповідно, практично без змін перейняли схему структури попередньої їм версії. Чого не можна сказати про п'ятої версії, про що наочно свідчить поданий нижче малюнок (рис. 2).

Мал Мал. 2. Сімейство продуктів COBIT 5 [1]

Необхідно відзначити, що модель процесів, що вибудовуються на базі CobiT, краще інших підходів, в основі яких не лежать бізнес-процеси організації (методики і стандарти аудиту виробників програмно-апаратних засобів), з кількох причин.

По-перше, за визначенням: процес - це дія, спрямована на досягнення результату, при оптимальному використанні ресурсів, і яке може коригуватися при його виконанні. При виконанні процесу всі задіяні ресурси структуруються і вибудовуються таким чином, щоб максимально ефективно виконувати цей процес.

По-друге, процеси в переважній більшості організацій, а особливо їх цілі не так часто змінюються, в порівнянні з організаційними об'єктами (організаційно-штатна структура: співробітники, відділи, департаменти і т. Д.).

По-третє, розгортання інформаційної системи або впровадження інформаційних технологій не може бути обмежена специфікою одного відділу або департаменту, а зачіпає керівників, користувачів з інших підрозділів та ІТ-фахівців. Таким чином, прикладні системи (прикладне програмне забезпечення то, що бачить користувач) - це невід'ємна частина структури CobiT і можуть бути стандартно оцінені, як і інші об'єкти контролю CobiT, в рамках єдиної структури і з застосуванням єдиних метрик.

CobiT - це збереження єдиного підходу до збору, аналізу інформації, підготовці висновків і висновків на всіх етапах управління, контролю і аудиту ІТ, можливість порівняння існуючих ІТ-процесів з «кращими» практиками, в тому числі галузевими [4].

Для цього CobiT виділяє високорівневі цілі контролю (ВЦК), по одній на кожен ІТ-процес, які групуються в домени. Пропонована структура об'єднує всі аспекти інформації та технологій, що підтримують її. Застосовуючи ці високорівневі цілі контролю, керівник може бути впевнений, що йому буде надана адекватна система контролю над ІТ-середовищем, яка враховує задіяні ресурси ІТ, що дає можливість оцінити ІТ по запропонованим CobiT семи критеріям оцінки інформації. На додаток до викладеним вище властивостям конфіденційності і цілісності, необхідно наступні 5 критеріїв або властивостей:

- Ефективність - актуальність інформації, відповідного бізнес-процесу, гарантія своєчасного і регулярного отримання правильної інформації.

Продуктивність - забезпечення доступності інформації за допомогою оптимального (найбільш продуктивного і економічного) використання ресурсів.

- Придатність - надання інформації на вимогу бізнес-процесів.

- Узгодженість - відповідність законам, правилам і договірними зобов'язаннями.

- Надійність - доступ керівництва організації до відповідної інформації для поточної діяльності, для створення фінансових звітів та оцінки ступеня відповідності [4].

Як і в попередніх версіях CobiT, в п'ятій версії стандарту також передбачено виділення високорівневих цілей контролю або ІТ-процесів. Відзначимо, що, з огляду на особливості розробника стандарту, структура ВЦК була переведена і представлена ​​в зручному для сприйняття варіанті (рис. 3).

Мал Мал. 3. Високорівневі мети контролю COBIT 5 [1]

Відзначимо, що дана версія стандарту CobiT, навіть судячи з наведеного вище складу високорівневих цілей контролю, найкращим чином відповідає реаліям сучасного підприємства, активно застосовує інформаційні технології. Кількість ВЦК збільшилася до 37, що дозволяє стандартизувати ще більше процесів на підприємстві. Збільшилася і кількість доменів - 5 в COBIT 5 проти 4 у CobiT 3, 4.0 і 4.1. Що хотілося б відзначити також, що поряд з традиційними ресурсами підприємства, які зазвичай розглядаються і в рамках менеджменту, особлива роль відводиться похідному від інформації продукту - знань. Сама інформація ясна річ також по собі важлива, але знання, а також засновані на них експертні системи допомагають приймати управлінські рішення. На наш погляд, також не менш важливим є те, що стандарт COBIT 5 враховує ринкові умови функціонування підприємств і необхідність вдосконалення технологій. Про це говорить наявність двох високорівневих цілей контролю: «Керувати інноваціями» і «Управляти ризиком».

Крім викладеного, стандарт COBIT 5 пропагує поділ традиційного управління (менеджменту) і управління інформаційними технологіями. Це обґрунтовано такими принципами:

1) Спрямований на задоволення потреб зацікавленої особи.

2) Охоплює всю діяльність підприємства.

3) Заснований на застосуванні єдиної інтегрованої структури.

4) Реалізує цілісний підхід.

5) Спрямований на поділ керівництва ІТ від менеджменту [1].

На наш погляд, це цілком розумно і обгрунтовано: це може розвантажити традиційний менеджмент на виконання, нехай часто і рутинних, але необхідних процесів для належного функціонування підприємства, і в свою чергу дозволить якісно управляти ІТ-ресурсами. У будь-якому випадку, обидва напрямки керування не будуть перевантажені.

На закінчення відзначимо, що сама інформаційна безпека як наукова і прикладна область діяльності постійно розвивається. Як правило, це забезпечується постійним вдосконаленням технічних і програмних засобів захисту. Тут особливе місце займає вдосконалення методології управління та аудиту ІТ та заснованих на них ресурсів. Стандарт CobiT є найкращим комплексним рішенням для цього. Його п'ята версія, на наш погляд, найкращим чином відповідає потребам підприємства в інформаційній безпеці - будь-якого підприємства, а не тільки в сфері інформаційних технологій.

література

1. A COBIT 5 Overview - www.isaca.org/COBIT5

2. CobiT - www.itexpert.ru

3. Амелін Р. В. Інформаційна безпека Навчально-методичний посібник з питань інформаційної безпеки

4. Стандарт CobiT. Управління та аудит інформаційних технологій - http://citforum.ru/consulting/standart_cobit/