вторник, 18 января 2011 г.

Занимательная таксономия

Таксоно́мия (от др.-греч. τάξις — строй, порядок и νόμος — закон) — учение о принципах и практике классификации и систематизации
Wikipedia
ТАКСОНО́МИЯ, -и, ж. Наука о классификации сложных объектов действительности (живой природы, строения Земли, этнических общностей, языка и др.).
Словарь Ожегова
Таксономия термин в словаре не найден
Словарь Даля 
Для многих компаний  наступает день, когда приходит осознание необходимости приведения в порядок функции информационной безопасности. Не важно, что послужило толчком: новое руководство, или инцидент с ошеломляющими последствиями, или новое руководство в результате  инцидента с ошеломляющими последствиями.
Внешний аудит, призванный срочно спасти ситуацию, позадавав  туманные вопросы, оставил отчет, в двух словах описывающий ситуацию как "удивительное безобразие" и содержащий необъятное количество рекомендаций по скорейшему переходу к состоянию, рекомендованному фэн-шуем лучшими мировыми практиками. Из отчета очевидно, что всемирное счастье не наступит без формализации процессов по ИБ, или, говоря человеческим языком, приведение в порядок нормативной базы, а затем процессов в соответствие этой самой базе.

При этом зачастую возникают два вопроса: "кто виноват?" и "что делать?" "что куда писать?" "как это назвать?", чтобы аудиторы не морочили голову процессы соответствовали  лучшим практикам. Масла в огонь жарких споров подливают те самые лучшие практики, которые называют по-разному одни и те же документы. В одних практиках, например NIST, "процедура" - документ описывающий процесс, в других же практиках - это низкоуровневый детальный пошаговый документ, который в NIST называется инструкцией. И таких путаниц существует огромное количество. А когда речь доходит до стратегических документов типа: "политика", "стратегия", "программа", - специалисты, ответственные за доработку нормативной базы, просто теряются.  Кроме вопроса "что куда писать?" остается еще вопрос "что делать с существующей базой?". А там кроме рекомендуемых "программа", "стратегия", "политика", "процедура", "стандарт", инструкция и т.д. еще есть "концепция", "руководящий документ", "постановление", "руководство"...
Для начала не плохо бы привести это все к единообразию и создать таксономию нормативной базы. Т.е. некую структуру, по которой наша нормативная база будет строиться и именоваться.
Например:

Стратегический уровень:
  • Стратегия ИБ
  • Политика ИБ
Операционный/тактический уровень:
  • Процедуры/стандарты
  • Руководства
  • Инструкции
Теперь пройдемся по сути документов.
  •  Стратегия ИБ. По причине того, что огромное количество компаний не имеет формализованной стратегии бизнеса, остальные стратегии являются для них чем-то космических и эфемерным. На самом деле все просто. Стратегия - это описание целевого состояния и план перехода в это самое состояние. Соответственно, наша стратегия ИБ будет иметь описание текущего состояния ИБ (как есть), описание целевого состояния (как мы хотим) и перечня проектов для перехода (последовательность их выполнения, зависимости, приоритеты и т.д.). При этом проекты должны иметь сроки, описание требуемых ресурсов и т.д. И последний "маленький" нюанс - целевое состояние должно вести нас к поддержке требований бизнеса.
  • Политика ИБ. Политика - это  высокоуровневое утверждение намерений руководства, ожиданий и распоряжений. Т.е. это набор высокоуровневых, кратко сформулированных целей, которые стоят перед организацией для обеспечения конфиденциальности, целостности и доступности информации в соответствии с требованиями бизнеса. Обычно это документ не более 15-20 страниц.  Политика, как правило, не содержит технических деталей по реализации целей. Для этого существуют документы процедурного/тактического уровня.
Со следующими документами возникает путаница, потому что, как я писал выше, каждые лучшие практики называют их по-разному. Главное не название. Главное суть. А суть их в том, что документы с разной детализацией и на разных уровнях описывают подходы по реализации тех целей, которые у нас содержаться в Политике. Привожу на примере NISTа
  • Процедура - обязательный документ. Описывает реализацию политики по конкретному направлению. Чаще всего одного процесса ИБ. Например, "процедура по мониторингу событий информационной безопасности" или "процедура по оценке информационных рисков"
  • Стандарт - обязательный документ. Описывает техническую реализацию политики для конкретного инфраструктурного уровня. Пример, "стандарт конфигурации настроек информационной безопасности для активного сетевого оборудования"
  • Руководство - не обязательный документ. Данный тип документа содержит рекомендуемые действия для администраторов / пользователей и т.д. В силу того, что документ не обязательный, и времени нет даже на обязательные, руководства  в природе почти не встречаются. Исключение составляют руководства от внешних разработчиков и поставщиков программного/аппаратного обеспечения, вроде Security Giude от Microsoft, Cisco или SWIFT.
  • Инструкция - обязательный документ. Детальное пошаговое описание выполнения определенных действий для определенных ролей. На подобии документа "нажмите такую кнопку, появится ... см. картинка 1...  выполните команду.... убедитесь что...". 
Написание и главное поддержание таких документов в адекватном состоянии - задача достаточно трудоемкая. Но наличие дает целый ряд неоспоримых преимуществ:
  • Снижает зависимость компании от "ключевых" сотрудников
  • Формализует процессы управления ИБ.  Позволяет внедрить единый подход в рамках всей организации
  • Позволяет оценивать работу процессов ИБ и соответствие этой работы целям информационной безопасности и бизнеса

2 комментария:

  1. Спасибо. Постоянно ощущал мучения, когда надо было определится "что куда писать?". Просто и легко разъяснили!

    ОтветитьУдалить