ГОСТ Р ИСО/МЭК 27010-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

Приложение A

(справочное)

 

СОВМЕСТНОЕ ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА

 

A.1 Введение

Информация ограниченного доступа при совместном ее использовании организациями - это важный актив, которым необходимо безопасно управлять. Для решения бизнес-задач и принятия более эффективных решений информация ограниченного доступа должна быть доставлена своевременно, особенно если это имеет решающее значение для организации.

Сообщества по обмену информацией могут представлять различные типы организаций и даже отдельных людей. Сообщества могут быть чрезвычайно разнообразны по своему составу или очень тесно связаны с той или иной формой предпринимательской деятельности, например, с определенной отраслью или рыночным сектором. Сообщества могут охватывать как государственные, так и частные сектора или могут объединять участников обоих типов. Основа для объединения в сообщество - это общее желание совместно использовать информацию ограниченного доступа определенного типа и использовать согласованные меры и процессы обеспечения ИБ, регулирующие использование этой информации.

Для безопасного обмена информацией ограниченного доступа в рамках сообщества по обмену информацией необходимо разрабатывать, внедрять и контролировать процессы, обеспечивающие своевременное обеспечение защиты потока информации. Эти процессы должны гарантировать распространение информации среди определенных лиц, обеспечивая при этом разумную уверенность в том, что эта информация не может быть использована в злонамеренных целях и не будет бесконтрольно распространяться таким образом, чтобы стать, по существу, публичной информацией.

Эффективность распространения информации ограниченного доступа будет определяться степенью доверия, которое участники поддерживают в отношениях, установленных сообществом по обмену информацией. В то же время механизмы обеспечения безопасности, связанные с коммуникациями, должны предотвращать распространение информации среди лиц или организаций, которые могут:

- использовать или накапливать данные для совершения вредоносных действий;

- публично распространять информацию без разрешения владельца информации;

- предоставлять информацию, которая не была в достаточной мере проверена и, следовательно, может вызывать нежелательные действия, последствиями которых могут стать потеря ресурсов, дезинформация и воздействие на организации.

Для эффективного обмена информацией в сообществе по обмену информацией организации-участники должны предоставить получателям информации возможность действовать в соответствии с полученной информацией и не должны способствовать злоупотреблению этой информацией, например, в коммерческих целях.

A.2 Проблемы

Отсутствие надлежащего менеджмента ИБ межотраслевых и межорганизационных сообществ по обмену информацией может повлиять на нормальные условия бизнеса и привести к сбоям во время инцидентов, поэтому настоятельно рекомендуется обеспечить менеджмент ИБ для решения перечисленных далее проблем:

- новые угрозы безопасности и уязвимости;

- рост зависимостей систем и сетей;

- договорная, правовая, нормативная и деловая эволюция и ограничения;

- создание адекватных коммуникационных моделей;

- координация атак и процессов реакции;

- текущее управление.

Безопасный и устойчивый обмен информацией между членами сообщества должен включать в себя следующие элементы:

- знание рисков и управление рисками;

- распространение и передача информации;

- мониторинг.

Хотя каждый из этих трех элементов ценен сам по себе, они тесно связаны и дополняют друг друга.

Трудно развивать доверие между членами сообщества по обмену информацией без личных отношений с другими участниками. Люди должны лично встречаться для того, чтобы наладить отношения и сформировать уверенность в надежности и осмотрительности друг друга. Трудно добиться доверительных отношений, используя только технологии удаленной связи. Также трудно создать механизмы, которые обеспечивают уверенность в достоверности источника информации, сохраняя при этом анонимность этого источника. Люди часто говорят более свободно, если они уверены, что их личность будет сохранена в тайне.

Сообщество по обмену информацией может быть эффективным даже в том случае, если не все участники делятся информацией в полном объеме со всеми остальными участниками. Механизмы распределения должны быть достаточно гибкими, чтобы распространение можно было ограничить либо конкретными членами сообщества, либо ограничить по темам.

Наконец, при обмене информацией между сообществами (например, при межотраслевом взаимодействии) органы контроля взаимодействия между сообществами сталкиваются с особыми трудностями. Источники информации не обязательно знают членов других сообществ и должны полагаться на интерфейсы для защиты анонимности и выполнения других условий распространения информации. Органам контроля взаимодействия может не хватать знаний для понимания того, когда не следует осуществлять передачу определенных сообщений сообщества. В международных коммуникациях эти проблемы стоят острее, чем в межотраслевых.

A.3 Потенциальные преимущества

Совместное использование информации ограниченного доступа неизбежно увеличивает потенциальный риск несанкционированного раскрытия. Для того, чтобы сообщество было эффективным, такими рисками нужно управлять и их нужно минимизировать, а видимые преимущества должны превышать принятые остаточные риски.

Потенциальные преимущества обмена информацией ограниченного доступа включают в себя:

- раннее предупреждение о любых значительных изменениях в ситуации с рисками, таких как новые угрозы, актуальные вероятности атак, недавно обнаруженные уязвимости и т.д.;

- повышение безопасности за счет обмена передовым опытом;

- доступ к полезной информации, недоступной в публичных источниках;

- экономия средств за счет устранения дублирования усилий;

- улучшение оценки рисков за счет более глубокого понимания угроз и уязвимостей;

- лучшая организация обслуживания и вмешательства на основе информации, касающейся аналогичных мероприятий в других организациях;

- лучшая готовность к инцидентам безопасности;

- сравнительный анализ мер обеспечения безопасности в аналогичных организациях;

- корпоративная социальная ответственность;

- соответствие требованиям законодательства или корпоративной политики.

Крайне важно, чтобы процессы мониторинга и анализа сообщества выявляли конкретные преимущества (и недостатки) от членства в сообществе.

A.4 Применимость

Информацией могут обмениваться между собой организации любых типов: большие или малые, государственные или частные, схожие или различные. Однако наибольшие выгоды могут получать организации, работающие в одной и той же отрасли или с одними корпоративными целями, которые разделяют специфические для сектора категории риска ИБ. В ИСО/МЭК 27006 [2] определены некоторые секторы.

Кроме того, больших преимуществ в обмене информацией между секторами можно добиться либо путем определения сообществ на основе таких характеристик, как географическое положение, либо путем обмена информацией с другими отраслевыми сообществами в иерархической структуре сообществ.

A.5 Определение и управление сообществом по обмену информацией

Сообщество по обмену информацией должно определить правила и условия, регулирующие его работу. Такие правила и условия должны включать:

- правила и условия, регулирующие членство в сообществе по обмену информацией и его внутреннюю организацию;

- цели сообщества по обмену информацией и предполагаемые преимущества для членов;

- процедуры вступления или выхода членов сообщества из сообщества по обмену информацией;

- правила и условия, регулирующие любые централизованные процессы или объекты сообщества, такие как TICE (орган доверенных коммуникаций) или WARP (пункт предупреждений, рекомендаций и отчетности);

- правила и условия, касающиеся обязательств членов сообщества, дисциплинарных процессов и критериев исключения;

- четкие правила того, как участники могут использовать и передавать общую информацию;

- другие юридические и финансовые обязательства и условия членства в сообществе.

Кроме того, правила и условия сообщества по обмену информацией должны также:

- обеспечивать передачу информации эффективным и безопасным способом, который гарантирует, что ее целевая аудитория должным образом своевременно эту информацию получает;

- определять и устанавливать приоритеты потенциальных и выбранных каналов связи с точки зрения приоритетного использования для передачи каждого определенного типа информации;

- определять обстоятельства, при которых информацию разрешено передавать членам сообщества;

- указать обязательные и необязательные атрибуты защиты и распространения данных информационного обмена в сообществе;

- определять четкие правила для интерпретации атрибутов защиты и распространения данных, касающихся распространения информации;

- требовать от участников предоставления отзывов об актуальности, своевременности и точности полученной информации;

- по возможности определять или адаптировать существующие стандарты обмена сообщениями для обмена информацией.

Правила обмена информацией должны определять частоту общения, все требования подтверждения получения и все критерии эскалации и установки приоритетов. Правила должны допускать разные уровни доверия между членами сообщества. В течение времени и в зависимости от ситуации уровень доверия может меняться.

Подходящие способы обмена информацией следует выбирать, оценивая их сильные и слабые стороны при доставке информации идентифицированных типов, поддерживаемых сообществом, на основе таких критериев, как целевая аудитория, атрибуты доставляемой информации, длина канала и его емкость, а также стоимость. Примерами возможных способов обмена информацией являются электронные сообщения, общедоступные сайты или сайты ограниченного доступа только для участников, телефонные переговоры или телефонные конференции, письма, доставляемые общедоступными почтовыми службами и личные встречи. Воздействие информационного обмена на свою целевую аудиторию, зависит от эффективности способа обмена информацией в достижении аудитории, доверия к нему со стороны участников и соответствия канала проблеме или предмету информации.

Не вся информация должна передаваться в режиме реального времени. Некоторая информация лучше всего может быть передана через установившиеся контакты обычным образом.

Информация может передаваться членам сообщества в срочном порядке - уведомления об обнаруженных инцидентах, соответствующих заранее заданным профилям, регулярно - представление отчетов или в ответ на запрос на получение информации от других участников. Возможными примерами атрибутов защиты и распространения данных являются требование скрыть происхождение информации, конфиденциальность информации или оценка достоверности информации, предоставленная отправителем. Примером набора правил для интерпретации атрибутов защиты и распространения данных является протокол светофора (TLP), приведенный в приложении C. Атрибуты могут различаться в зависимости от используемого способа обмена информацией. Например, обязательные атрибуты для традиционной почтовой рассылки могут отличаться от таковых для электронной почты.

Какие бы технические решения не были выбраны и реализованы, они должны соответствовать типам информации, которой обмениваются в сообществе, и соответствовать конкретным целям сообщества. Непосредственный личный контакт укрепляет доверие и может быть необходим для развития сообщества путем приглашения новых участников. Кроме того, наличие доверенной платформы или другой инфраструктуры совместного использования может само по себе стимулировать членство.

A.6 Соглашения об обмене информацией

Сообщество по обмену информацией должно определить в соглашении об обмене информацией механизмы и процессы, регулирующие обмен информацией в сообществе. Информацией можно обмениваться через письма, устно на очных встречах, а также в электронном виде. Обмен информацией можно осуществлять формально, используя предопределенные форматы и протоколы, или неформально, неструктурированным способом. Информацией можно обмениваться как регулярно, так и не регулярно. Информация может передаваться посредством одноранговой и иерархической связи или через централизованный вспомогательный объект, такой как TICE или WARP.

Соглашение об обмене информацией может разрешать передачу информации только отдельным участникам сообщества по обмену информацией и может разрешать только анонимный обмен. Кроме того, даже при наличии централизованных средств передачи, непосредственная прямая передача информации между участниками тоже возможна.

Для обеспечения общего понимания членами сообщества передаваемой информации и для обеспечения разработки и применения соответствующих уровню чувствительности информации мер обеспечения безопасности в соглашении об обмене информацией должны быть указаны типы информации, которой члены сообщества могут обмениваться между собой.

Примеры возможных типов информации:

- "объявления", соответствующие информативным объясняемым событиям;

- "предупреждения и сигналы тревоги", соответствующие необъясненным физическим или связанным с IT событиям, атакам "отказ в обслуживании", сканированию или спуфингу;

- "обработка инцидента", который соответствует анализу, поддержке и координации реагирования на фактические инциденты;

- "запрос информации", который соответствует запросу информации от одного участника сообщества ко всем или некоторым другим участникам сообщества;

- "прогнозы качества обслуживания", предоставляющие информацию о прогнозируемой эффективности и надежности различных каналов передачи сообщества.

Если не используется надлежащий метод фильтрации данных, то избыточный обмен информацией может быть так же плох, как и слишком малый. Если основным достоинством совместного использования информации является то, что он позволяет организовать общие действия - создать тренд, то должна быть возможность различать то, что надо делать срочно, и то, что надо просто принять во внимание.

A.7 Факторы достижения успеха

Эффективные сообщества будут иметь подлинно общие интересы, несмотря на то, что участники могут быть заинтересованы не во всех вопросах. Например, операторы фиксированной связи не интересуются проблемами беспроводной связи, но так же, как и операторы сотовой связи, заинтересованы в выявлении ложных вызовов.

Использование уполномоченных представителей сообществ могут повысить внутреннюю эффективность сообщества.

Эффективные сообщества могут тем или иным способом ограничивать членство, например, для обеспечения справедливого представительства при принятии решений.

A.8 Область применения системы менеджмента информационной безопасности для сообщества по обмену информацией

Область применения СМИБ для сообщества по обмену информацией должна включать:

- все процессы, используемые для обмена информацией между членами сообщества, включая посредников;

- хранение в установленном порядке информации, относящейся к информационному обмену;

- процессы, осуществляемые соответствующими членами сообщества для отправки и получения общей информации;

- процессы, осуществляемые членами сообщества для уничтожения общей информации.

Область применения не должна включать процессы управления ИБ, осуществляемыми в СМИБ членами сообщества для управления их собственной ИБ, а также возможно охватываемые и другими системами менеджмента ИБ, кроме ограничений, установленных для совместно используемой информации и для интерфейсов к системе по обмену такой информацией. Системой менеджмента информационной безопасности может управлять централизованно объект поддержки, такой как TICE или WARP, или же ей могут совместно управлять члены сообщества.