Разбор РС БР ИББС 2.7 "Ресурсное обеспечение ИБ." Часть 1.

Разбор РС БР ИББС 2.7 "Ресурсное обеспечение ИБ." Часть 1.
Уф, наконец-то закончил анализ большого и сложного документа РС БР ИББС-2.7-2015 "Ресурсное обеспечение информационной безопасности". Пришлось потратить на него очень много времени, в том числе на сверку с другими документами и "лучшими практиками", а именно:
  • СТО БР ИББС 1.0-2014 (Общие положения)
  • РС БР ИББС 2.2-2009 (Методика оценки рисков нарушения ИБ)
  • ГОСТ 27000-2014 (СМИБ. Общий обзор и терминология)
  • COBIT 4.1 и COBIT 5 
Сразу скажу итоговый вывод - документ ужасен и использовать его даже в качестве рекомендаций невозможно. Он слишком сложен, плохо структурирован, в нем много методологических ошибок, а вместо конкретных и практических рекомендаций в основном вы увидите общие слова...

Но давайте перейдем от громких эпитетов к конкретике.

Общая майндкарта нам в этом очень пригодится ( в PDF тут ):

Для разбора документа удобно его разделить на следующие смысловые части:
  1. Базовые термины
  2. Перечень процессов ИБ
  3. Модель зрелости
  4. Оценка рисков и бюджет
  5. Оценка необходимости в персонале
  6. Контроль эффективности инвестирования

1. Базовые термины

Первое, что бросается в глаза - это новый термин "уровень зрелости".
Уровень зрелости выполнения процесса СОИБ– мера оценки полноты, адекватности и эффективности выполнения процесса СОИБ.
В этом термине есть большой минус - не определены понятия "полнота", "адекватность" и "эффективность". Что под ними подразумевают авторы не понятно. А под "эффективностью" вообще скрывается даже не "эффективность" или "результативность" ( см.вот этот мой пост ), а скорее "соответствие ожиданиям". Но это становится понятно только по прочтении последних глав документа...

Кстати, по тексту еще упоминается "модель полноты и качества выполнения процессов СМИБ", и что такое "качество" процесса также не расшифровывается.

Смотрим дальше. Почему-то в базовых терминах нет определения "процесс", хотя это слово, пожалуй, ключевое в документе. И ведь этот термин есть в СТО БР ИББС 1.0-2014:
3.11. Процесс - Совокупность взаимосвязанных ресурсов и деятельности, преобразующая входы в выходы.
Наверно из-за отсутствия его определения и появились сложности с выбором этих самых процессов. Но об этом ниже.

Почему-то нет сокращения "СВР" (степень возможности реализации угроз ИБ). Наверно просто забыли добавить в п.4. Но это уже я придираюсь.

Еще могу предположить, что авторы немного запутались в сокращениях "СОИБ" и "СМИБ",.хотя тот же СТО БР ИББС 1.0-2014 их разъясняет четко:
5.21. Совокупность защитных мер, реализующих обеспечение ИБ организации БС РФ, и процессов их эксплуатации, включая ресурсное и административное (организационное) обеспечение, составляет СИБ организации БС РФ.
Совокупность процессов менеджмента ИБ, включая ресурсное и административное (организационное) обеспечение этих процессов, составляет СМИБ организации БС РФ.
Совокупность СИБ и СМИБ составляет СОИБ организации БС РФ.
и еще:
5.24. Для реализации и поддержания ИБ в организации БС РФ необходима реализация четырех групп процессов:
— планирование СОИБ организации БС РФ (“планирование”);
— реализация СОИБ организации БС РФ (“реализация”);
— мониторинг и анализ СОИБ организации БС РФ (“проверка”);
— поддержка и улучшение СОИБ организации БС РФ (“совершенствование”).
Указанные группы процессов составляют СМИБ организации БС РФ.
Соответственно, в большинстве случаев употребления "СОИБ" в документе было бы правильнее использовать сокращение "СИБ".

2. Перечень процессов ИБ

Самое главное, что надо понимать, - стандарты банка России не приводят перечень процессов ИБ (ни СМИБ, ни СИБ). Вообще не приводят. Их надо выискивать по тексту СТО БР ИББС 1.0 и определять самостоятельно. Кстати, в ISO 27001 тоже самое (процессы в явном виде не определены), а вот в COBIT и ITIL перечень процессов конкретен и они описаны.

Вот, авторы РС 2.7 и придумали свой перечень сущностей (назвать их процессами не могу, т.к. многие ими не являются).

Меньше всего нареканий у меня к перечню процессов СМИБ (п.6.4), но и то я бы их поправил. В частности, убрал бы процессы "Реализация автоматизации выполнения процесса СОИБ" (это скорее атрибут для оценки зрелости процессов, но об этом далее) и "Выполнение планов реализации процесса СОИБ, с учетом выполнения положений по обеспечению ИБ на этапах создания АБС", и наоборот добавил бы "Управление рисками ИБ" и "Оценка зрелости процессов СОИБ" (СИБ и СМИБ). У остальных я бы поправил их формулировки, разделил бы процессы "самооценки" и "аудита", и еще, возможно, объединил бы коррекцию области действия с планированием.

Кстати, процессы СМИБ вполне не сложно разложить по стадиям PDCA, как про них и написано в СТО БР ИББС 1.0. Почему это было не сделано остается загадкой.

Очень много нареканий к процессам из п.6.2.1 и 6.2.2. Многие из них не процессы, а скорее функции и/или требования (например, "обеспечение антивирусной защиты"). Здесь надо существенно пересматривать этот перечень, исходя из базового термина (см. выше) или других терминов из "лучших практик", например:
из ГОСТ 27000-2012
Процесс - Совокупность взаимосвязанных или взаимодействующих видов деятельности, преобразующих входы в выходы.
Процедура - Установленный способ действия или процесса.
из COBIT5:
Процесс - Обычно – набор практик, находящихся под влиянием политик и процедур предприятия, который получает на вход ресурсы (включая результаты других процессов), преобразует их и создает результат (выходы, то есть продукты и услуги).
Замечание по охвату: для существования процессу необходимо иметь ясную бизнес-причину, подотчетного владельца, четкое закрепление ролей и обязанностей за исполнение процесса и средства измерения производительности.
Приведу для примера перечень процессов из COBIT5 (хотя такой перечень без адаптации тоже будет использовать не очень удобно):

Ну, а так, сходу, предложил бы примерно такой перечень процессов СИБ:
  • управление персоналом (в контексте ИБ и, скорее, при приеме и увольнении);
  • управление доступом;
  • управление инцидентами (и проблемами);
  • управление непрерывностью бизнеса (и/или ИТ-сервисов);
  • управление подрядчиками;
  • планирование, проектирование и приемка ИС;
  • управление изменениями;
  • управление знаниями (при необходимости).
Также сюда могут входить некоторые другие "традиционно ИТ-шные" процессы, например, "резервное копирование и восстановление", "управление конфигурациями", "управление доступностью и мощностью", и другие. Можно попробовать добавить специфичный - "настройка и эксплуатация СЗИ". 

Посмотрите предложенный в документе перечень и почувствуйте разницу...

Причем проблема будет состоять в том, что даже если взять предложенный авторами  РС 2.7 перечень, то большинство процессов при их планировании и проектировании мы не сможем расписать по классическим схемам: цель и назначение, вход/выход, ответственный, роли (RACI), метрики и KPI. Внедрить и проконтролировать их результативность/эффективность будет трудно.

3. Модель зрелости

Про модель зрелости / уровни зрелости написано очень мало, только на треть страницы в п.6.5 документа. Тема абсолютно не раскрыта. Если бы я не был знаком с аналогичной моделью CMMI и COBIT4.1, то ничего бы не понял. Судите сами, я даже сделал сводную таблицу с текстом из COBIT4.1. Почувствуйте разницу!



Даже без каких-то дополнительных объяснений описание уровней зрелости из COBIT4.1 можно вполне использовать, и они более менее понятны. А в модели ЦБ РФ "каша" начинается с 3го уровня и выше, различия между уровнями не очевидны.

Также в COBIT4.1 для каждого уровня зрелости процесса определен набор атрибутов из следующих групп: Осведомленность и информирование, Политики, планы и процедуры, Инструментарий и автоматизация, Навыки и компетентность, Осведомленность и подотчетность, Постановка целей и оценка результатов. По сути, представлен пример таблицы соответствия. Это позволяет в большинстве случаев довольно четко (и повторяемо) оценить уровень зрелости. В РС 2.7 рекомендации и разъяснения по оценке не приводятся. А очень жаль...

На самом деле, прописать атрибуты не сложно, я вполне справился с такой задачей при разработке "Модели зрелости DLP" в рамках своей работы в InfoWatch. Может в ближайшие месяцы проведу вебинар по данной теме...

Смотрим дальше документ, а именно п.6.6. В нем авторы предполагают оценивать "влияния уровня полноты и качества выполнения отдельного процесса СМИБ (Li) на уровень зрелости выполнения управляемого процесса СОИБ в целом (L)". Почему решили оценивать процессы СОИБ через оценку уровня процессов СМИБ остается загадкой. Почему нельзя было сразу оценить их уровень зрелости? Ну, ладно, решили усложнить (придумывать весовые коэффициенты, искать сумму произведений и округлять), но сам подход-то не верен! И если уж решили пойти сложным путем, то уровни необходимо перемножать, а не складывать (посмотрите слайды 24-26 вот в этой презентации ).  Хотя я против такого подхода.


Вот как-то так. Я в печали :(((


Получилось уже совсем много текста, поэтому про части "Оценка рисков и бюджет", "Оценка необходимости в персонале", "Контроль эффективности инвестирования" напишу отдельный пост. Там тоже будет много критики, причем, на мой взгляд, я критикую обоснованно. Как считаете?
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Хакеры ненавидят этот канал!

Спойлер: мы раскрываем их любимые трюки

Расстройте их планы — подпишитесь

Andrey Prozorov

Информационная безопасность в России и мире