Рисунок 1
Основная задача информационной безопасности состоит в определении уровня рисков любого актива и, если необходимо, принятия комплекса мер безопасности для сведения это уровня до приемлемой величины (см. Рисунок 2).
Рисунок 2
Рисунок 3 отражает общепринятое и, отраженно во многих международных стандартах, понимание связей между безопасностью, риском и активом. Эта схема хороша для простых активов, однако она не достаточна для информационной защиты современных цифровых (включающих инженерно-технические и кибер-физические системы) систем, которые состоят из многих активов со сложными взаимосвязями.
Рисунок 3
Поэтому, практически невозможно объективно и обоснованно увязать конкретную современную цифровую систему с уровнем ее рисков, хотя очень многие уязвимости широко известны (см. https://cve.mitre.org ). Таким образом, подавляющее большинство проектов по информационной безопасности напоминают алхимию – их обоснования неполны и субъективны, а результаты непредсказуемы.
1 Роль корпоративной архитектуры для информационной безопасности
Улучшить предсказуемость мер по информационной безопасности позволяет объединение вышеупомянутой схемы и методологии корпоративной архитектуры (см. Рисунок 4). Последняя, используя описания функционирования цифровой системы, позволяет объективно уценивать как ущерб, нанесенный какому-то активу системы, сказывается на всей системе.
Таким образом, становиться возможным объективно оценивать уровни рисков цифровой системы и их зависимость от возможных изменений самой системы. Это позволяет управлять инвестиционной стратегией и инвестиционным планом по мерам обеспечения информационной безопасности и снижению рисков.
Рисунок 4
Дополнительно, объединённая схема позволяет учесть риски от внутренних угроз, которые приносят больший ущерб, чем внешние атаки (см. Рисунок 5).
Рисунок 5
Наличие хорошо определенной корпоративной архитектуры существенно упрощает выполнение организационных и технических мер по информационной безопасности, таких как:
- номенклатура активов, в том числе активов информационной инфраструктуры
- определение критичности активов
- управление доступом к активам на всех этапах жизненного цикла
- минимизация полномочий
- наличие формализованных процедур для сопровождения активов
- наличие информации, позволяющей установить как изменение какого-нибудь актива влияет на другие активы и систему в целом
- разделение функций для предотвращения конфликта интересов
- протоколизация всех действий
- наличие формализованных процедур взаимодействия всех подразделений, включая выполняющие функции обеспечения информационной безопасности
- наличие формализованных процедур взаимодействия со всеми партнерскими организациями, включая выполняющие функции обеспечения информационной безопасности
- должностные обязанности персонала, которые основаны на формализованных процедурах
- системная обоснованность изменений
- техническая реализуемость изменений
- и многое другое
2 Новые уровни информационной безопасности
Существующий чисто технический подход к информационной безопасности (защита на уровнях периметра, данных и приложений) неоднократно доказал свою неспособность противостоять киберпреступности.
Поэтому необходимо добавить обеспечение безопасности на уровне организации или предприятия. Так, функционирование предприятия можно рассматривать как потоки работ, охватывающие цифровые интеллектуальные приложения, сотрудников, клиентов и партнеров как внутри, так и за пределами предприятия. Люди а также материальные и нематериальные ресурсы участвуют в, практически, каждой отдельной работе. Обеспечение информационной безопасности подразумевает следующие характеристики функционирования предприятия:
- Любая работа выполняется только в соответствии с предписаниями, и любое непреднамеренное использование информации (например, доступ к информационным ресурсам, не связанным с выполнением работы) в принципе невозможно.
- Планирование работ должны быть проверены на соответствие формальным правилам информационной безопасности.
- Выполнение и оперативное планирование работ должно постоянно проверяться на соответствие формальным правилам информационной безопасности.
Также необходимо использовать «цифровые контракты» (см. http://egov-tm.blogspot.ch/2017/08/blog-post_5.html ) для безопасности на между организационном уровне.
Ну а все существующие законы обязаны быть в цифровой форме для их однозначного и неукоснительного соблюдения.
3 Заключение
В настоящее время, еще никто не добился «запроектированной» информационной безопасности (security by design). Поэтому есть шанс выбиться в лидеры этого направления путем использования системного подхода:
- Международные стандарты являются способом использования знаний и усилий всего мира, поэтому, активное участие в международной стандартизации критически необходимо.
- Корпоративная архитектура, как системный подход к построению цифровых, инженерно-технических и кибер-физических систем, упрощает выполнение организационных и технических мер по информационной безопасности таких систем.
- Информационная безопасность цифровых, инженерно-технических и кибер-физических систем является одним из критических факторов для успешного построения «Интернета вещей», «Умного дома», «Умного города», «Умного производства» и, в целом, цифровой экономики.
- Можно и нужно наращивать дополнительные уровни информационной безопасности.
- Сложность проблемы информационной безопасности настоятельно требует национального подхода к ее решению.
- Воссоздание «вертикали управления» знаниями и практиками в области информационной безопасности и смежных областях является одной из первоочередных задач.
Thanks,
AS
Комментариев нет:
Отправить комментарий