ГОСТ Р ИСО/МЭК 27010-2020. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности при обмене информацией между отраслями и организациями

Приложение D

(справочное)

 

МОДЕЛИ ДЛЯ ОРГАНИЗАЦИИ СООБЩЕСТВА ПО ОБМЕНУ ИНФОРМАЦИЕЙ

 

D.1 Введение

Существует множество различных форм организации сообщества по обмену информацией - от свободной ассоциации взаимодействующих партнеров до централизованно управляемого формального юридического лица, имеющего сложную структуру. Это приложение описывает две формы организации сообщества, применяемые на практике и поддерживающие эффективный менеджмент ИБ.

D.2 Орган доверенных коммуникаций

D.2.1 Введение

Орган доверенных коммуникаций (Trusted Information Communication Entity (TICE)) - это автономная организация, которая поддерживает обмен информацией между членами сообщества, выступая в качестве централизованного портала координации и коммуникации. Он становится ключевым элементом эффективной СМИБ при обмене информацией между отраслями и организациями. Деятельность TICE направлена на обеспечение эффективного и безопасного обмена информацией между членами сообщества и помогает им в эффективном мониторинге, анализе и управлении реакциями на инциденты и риски.

Орган доверенных коммуникаций (TICE) состоит из команды экспертов в предметной области, основными направлениями деятельности которых являются:

- обеспечение надлежащего обмена информацией между TICE и членами сообщества;

- анализ и реагирование на инциденты ИБ;

- обработка инцидентов и содействие членам сообщества в процессах устранения последствий нарушений;

- обеспечение информированности членов сообщества об ИБ;

- подготовка рекомендаций по уязвимостям в используемых компонентах;

- информирование представителей членов сообщества об эксплойтах и вирусах, использующих эти уязвимости, чтобы авторизованные участники могли бы эффективно применять исправления и обновления компонентов.

TICE может выступать в качестве доверенного посредника для анонимизации источников или получателей совместно используемой информации. Это позволяет участникам быть уверенными в том, что информация поступает из надежного источника, не раскрывая при этом свою личность и не доверяя другим членам, чья личность скрыта.

TICE может основываться или существовать на основе существующей организации, такой как Группа реагирования на инциденты ИБ (Information Security Incident Response Team (ISIRT)), которая уже обслуживает соответствующее сообщество. Тем не менее, ISIRT необходимо будет расширить для предоставления профилактических услуг TICE, а также оперативных услуг, обычно предоставляемых ISIRT.

D.2.2 Соображения по организации TICE

D.2.2.1 Эксперты предметной области

Структура должна опираться на государственную или отраслевую экспертизу, чтобы обеспечить участие людей с соответствующими навыками. Эксперты должны хорошо ориентироваться в предметной области межведомственных коммуникаций и соответствующей информационной инфраструктуры.

Эксперты должны обеспечивать проведение анализа, как минимум в следующих областях (но не ограничиваясь ими):

- управление бизнесом;

- безопасность и инфраструктура ИТ;

- операции;

- внутренние связи;

- вопросы права.

Эксперты могут работать неполный или полный рабочий день, могут располагаться централизованно, на своих рабочих местах или в комбинации.

D.2.2.2 Организационная структура

Типичный TICE как минимум должен включать в себя:

- Исполнительный совет (необходимо - ответственный за стратегическое управление TICE и отношения с членами сообщества);

- Оперативно-техническая группа (необходимо - ответственная за анализ деловых и технических рисков и определение применимости соответствующих исправлений или изменений);

- Оперативно-технические корреспонденты (необязательно - рекомендуется для улучшения понимания операционной среды TICE или ресурсов, задействованных на уровне агрегации компонентов (локальный сайт));

- Эксперты по правовым вопросам (необязательно, но рекомендуется для урегулирования правовых вопросов особенно на начальном этапе внедрения TICE);

- Эксперты в области коммуникации (необязательно, но рекомендуется для того, чтобы сосредоточиться на объяснении участникам сообщества на понятном им языке проблем, связанных с техническими вопросами). Эксперты по коммуникациям могут обеспечить обратную связь от членов сообщества к оперативной технической группе, выступая в качестве посредника между этими двумя группами.

D.2.2.3 Управление участниками сообщества

Для обеспечения адекватных доверительных отношений TICE должен оказывать поддержку для аутентификации, оценки, постоянного понимания и управления членами сообщества или их представителями.

D.2.2.4 Организационная модель

Выбор подходящей организационной модели TICE во многом зависит от существующих структур, характера членов сообщества и возможностей расширения TICE для выполнения заявленных услуг. Это также зависит от доступности экспертов по предмету, которые будут наняты на постоянную или временную работу.

Существует как минимум три возможных модели:

- Независимая модель: независимый TICE действует как независимая организация со своим собственным руководством и сотрудниками;

- Встроенная модель: встроенный TICE устанавливается внутри организации, используя ее ресурсы для предоставления услуг. Количество выделенных ресурсов может варьироваться для поддержки деятельности в обычных условиях и конкретных ситуациях;

- Добровольная модель: добровольный TICE состоит из экспертов, которые предоставляют советы и поддержку друг друга на добровольной основе. Это следует рассматривать как сообщество экспертов, сильно зависящее от мотивации участников.

D.2.3 Базовые и дополнительные сервисы TICE

Выбор услуг, предоставляемых TICE участникам сообщества, является критически важным этапом и должен основываться на следующих факторах:

- Масштабы и риски, связанные с предлагаемыми коммуникациями между участниками сообщества по обмену информацией;

- Область применения TICE, организация и характер сообщества по обмену информацией.

Кроме того, это сильно зависит от роли (ролей), которую TICE должен выполнять в контексте сообщества (выступая в качестве посредника и/или инициатора обмена информацией между членами).

Потенциальными основными услугами TICE являются следующие:

- реактивные сервисы предназначены для обнаружения любых потенциальных атак на компоненты информационной инфраструктуры, анализа и составления отчетов об атаках и воздействиях угроз, реагирования на запросы о помощи, информирование членов сообщества об инцидентах;

- превентивные сервисы предназначены для обеспечения и содействия адекватному обмену информацией путем улучшения безопасности сообщества по обмену информацией и связанных информационных инфраструктур до того, как произойдет или будет обнаружен какой-либо инцидент или событие. Кроме того, некоторые превентивные услуги предназначены для улучшения предотвращения инцидентов за счет информированности всех членов с целью уменьшить влияние и масштабы инцидентов, когда они происходят.

Потенциальными дополнительными сервисами TICE являются следующие:

- сервисы исследования вредоносного кода;

- анализ всех файлов или объектов, обнаруженных в компоненте, который может быть связан с вредоносными действиями;

- обработка и распространение результатов между участниками сообщества, поставщиками и другими заинтересованными сторонами, для предотвращения распространения вредоносного программного обеспечения и снижения рисков;

- сервисы управления безопасностью и качеством предназначены для того, чтобы помочь членам сообщества в анализе рисков, управлении непрерывностью бизнеса и повышении осведомленности о безопасности для достижения долгосрочных целей;

- сервисы анонимизации предназначены для того, чтобы члены сообщества могли отправлять или получать информацию, не раскрывая свою личность другим участникам.

D.2.4 Заключение

Модель TICE представляет собой всеобъемлющую, контролируемую и структурированную модель для обмена информацией между организациями. Он особенно подходит для критически важных сред, где важны оперативный и приоритетный обмен информацией и ее анализ, а организация может покрыть расходы на такую центральную инфраструктуру.

D.3 Пункт предупреждений, рекомендаций и отчетности

D.3.1 Введение

Модель пункта предупреждений, рекомендаций и отчетности (Warning, Advice and Reporting Point (WARP)) [6] используется с 2003 года и обеспечивает проверенный механизм для обмена информацией ограниченного доступа между организациями как в государственном, так и в частном секторах.

Пункты предупреждений, рекомендаций и отчетности обеспечивают обмен информацией между людьми или организациями со схожими интересами, как правило, на добровольной основе. WARP основан на личных отношениях между людьми, представляющими членов сообщества по обмену информацией. Типичный WARP состоит из оператора, который немного знает о предмете интереса, но в основном выбор оператора основывается на умении хорошо общаться с участниками. Число участников обычно варьируется от 20 до 100, в противном случае WARP может утратить личные контакты. Кроме того, участники имеют общие интересы (малые предприятия, местные органы власти, поставщики услуг, заинтересованные группы и т.д.).

Члены WARP соглашаются работать вместе как часть сообщества и обмениваться информацией, чтобы снизить риск взлома их информационных систем и, следовательно, снизить риск для своих организаций. Это совместное сообщество может основываться на отраслевом или рыночном секторе, географическом местоположении, технологических стандартах, группе интересов, группе риска или любом другом общем интересе, имеющем смысл в бизнесе.

Как правило, WARP являются небольшими, частными и некоммерческими.

D.3.2 Функции WARP

Оператор WARP использует веб-сайт, электронную почту, телефон, SMS и нерегулярные встречи (где это возможно) для доставки участникам персонализированных предупреждений и рекомендаций. Это часто советы по ИБ (их так много, и они так быстро меняются), но также и другие материалы (информация о других угрозах, электронных преступлениях, планах на случай непредвиденных обстоятельств и т.д.). Оператор также использует и знания самих участников, чтобы помочь другим участникам, используя для этого доску объявлений, встречи и общие навыки общения. Успешный WARP создает достаточный уровень доверия, чтобы побудить участников в интересах других анонимно сообщать о своих собственных инцидентах и проблемах (что-то вроде схемы "Соседского дозора").

D.3.3 Услуги WARP

D.3.3.1 Обзор

WARP обычно предоставляет три базовых сервиса:

- сервис отфильтрованных предупреждений - где участники получают только необходимую им информацию о безопасности, выбранную с помощью галочки в онлайн-списке;

- сервис посреднических советов - участники могут учиться на инициативах и опыте других членов, возможно, через доску объявлений членов;

- сервис надежного обмена - когда отчеты анонимны для того, чтобы участники могли учиться на атаках и инцидентах друг друга, не опасаясь смущения или предъявления обвинений.

D.3.3.2 Отфильтрованные предупреждения

Служба отфильтрованных предупреждений позволяет членам WARP получать предупреждения и рекомендации, которые отфильтрованы в соответствии с их интересами. В прикладном программном обеспечении "Filtered Warnings" используется "список галочек" дерева подписок, который позволяет членам WARP легко изменять и поддерживать свой выбор. Программное обеспечение также помогает операторам WARP легко классифицировать и своевременно распространять предупреждения и рекомендации. Эта служба реализует часть "Предупреждение" пункта предупреждений, рекомендаций и отчетности.

D.3.3.3 Консультационные услуги

Этот сервис позволяет членам сообщества WARP обсуждать передовой опыт и вопросы ИБ в безопасной среде. Служба также позволяет участникам предлагать свой опыт и навыки другим, возможно, на бартерной основе, когда один участник выполняет работу в той области, которую анализирует другой. Эта услуга представляет собой консультационную часть пункта предупреждений, рекомендаций и отчетности.

D.3.3.4 Доверенный обмен информацией

Этот сервис обеспечивает надежную среду, в которой участники WARP могут обмениваться информацией ограниченного доступа, такой как информация об инцидентах или угрозах, зная, что она не причинит им вреда или затруднений. Отчетность может быть получена по телефону, электронной почте или при личной встрече с соблюдением соответствующих мер безопасности. После санации и, при необходимости, анонимизации такая информация об инциденте может также передаваться другим WARP, с которыми существуют доверительные отношения, и в правительственные органы для сопоставления и мониторинга национальных тенденций. Эта служба предоставляет отчетную часть пункта предупреждений, рекомендаций и отчетности.

D.3.3.5 Другие сервисы

WARP могут предоставлять и другие услуги, полезные участникам сообщества. Однако такие дополнительные услуги не должны требовать от оператора WARP существенных затрат на них времени и ресурсов.

D.3.4 Преимущества WARP

WARP обеспечивают эффективную и недорогую защиту информации для участников, обеспечивая:

- доверенную среду;

- фильтрацию информации о безопасности;

- доступ к консультациям экспертов;

- ранние предупреждения об угрозах;

- поддержку принятия стратегических решений;

- лучшую осведомленность о безопасности.

Среди многих потенциальных выгод, связанных с созданием WARP:

- эффективность работы: WARP способствуют обмену информацией и координации общих задач, что, в свою очередь, сокращает дублирование работ, повышая за счет этого эффективность корпоративной или государственной организации;

- предотвращение ущерба репутации: поскольку организации переходят на все более интерактивный режим взаимодействия с обществом, присутствие в сети становится ключевым фактором. Если веб-сайт недоступен или поврежден, то это может вызвать проблемы с репутацией и препятствовать внедрению веб-сервисов. Обслуживаемое сообщество будет лучше защищено, будучи участником WARP;

- ранние предупреждения о проблемах и решениях и обмен ими в сообществе WARP позволяет узнавать о проблемах, с которыми сталкиваются другие, обеспечивая таким образом участников уникальной и персонализированной услугой, которую не может предоставить даже крупный коммерческий поставщик;

- поддержка со стороны правительства и других организаций WARP. Преимущество принадлежности к такому целенаправленному сообществу означает возможность делиться полезными советами из надежного источника и распространять их. Оперативная поддержка со стороны других WARP хорошо показала себя на форуме операторов WARP. Кроме того, имеет место сотрудничество равноправных партнеров через приложение "Filtered Warnings", которое позволяет легко распространять предупреждения и рекомендации других WARP;

- низкая стоимость. Модель спроектирована так, чтобы затраты были очень низкими, благодаря минимальному уровню укомплектования персоналом (виртуальным командам);

- полная бесплатная панель инструментов. Поставщик услуг WARP имеет доступ к панели инструментов WARP, которая была создана на основе опыта существующих WARP. Эта панель включает в себя справочную информацию, как начать работу, как создать и запустить WARP, а также обширный список загруженных материалов, от статей прессы до маркетинговых материалов;

- устойчивость. В настоящее время WARP становятся широко распространенными, и многие уважаемые организации успешно применяют такой подход с проверенной устойчивостью;

- программное обеспечение. Поставщик услуг WARP может иметь доступ к специализированному программному обеспечению, разработанному для поддержки всех трех сервисов WARP;

- повышение доверия. Принцип "некоммерческой организации" и связь с существующей передовой практикой помогают завоевать доверие сообщества и могут повысить авторитет организации, особенно в контексте деятельности в общественных интересах;

- соответствие. Участие в WARP помогает организациям-членам удовлетворить организационные меры контроля контактов, определенные в ИСО/МЭК 27002;

- потенциал роста. Многие существующие поставщики WARP находятся в процессе создания дополнительных WARP, основываясь на существующей инфраструктуре и опыте, которые обеспечивают низкие затраты и лучшую устойчивость. В настоящее время WARP появляются во многих отраслях и начинают распространяться на международном уровне;

- корпоративная социальная ответственность. Членство в WARP повышает корпоративную социальную ответственность организации-члена, тем самым завоевывая доверие сообщества и потенциально поддерживая как бизнес-стратегии оператора, так и участников.

D.3.5 Заключение

Модель WARP представляет собой простую модель сотрудничества для обмена информацией между организациями-единомышленниками. Эта модель особенно хорошо подходит, когда финансирование ограничено, а необходимо сформировать централизованную инфраструктуру, которая должна работать на добровольной основе.