| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В современном мире всеобъемлющей цифровизации и диджитализации большинства бизнес-процессов обмен информацией играет ключевую роль, будь то пересылка файлов по электронной почте, предоставление онлайн-сервиса заказчикам, совместное использование облачной инфраструктуры или передача информации через VPN-туннель между компаниями-партнерами. Во всех случаях, как правило, речь идет о необходимости согласовать единый формат обмена и защиты информации, заключить юридически значимые договоренности о правилах обмена и соблюдении конфиденциальности, поддерживать выбранный способ обмена и корректно завершить взаимодействие по достижении цели.
Документ NIST SP 800-47 Rev. 1 "Managing the Security of Information Exchanges" («Управление безопасностью информационных обменов») содержит рекомендации по выстраиванию процессов обмена информацией без привязки к конкретным технологиям и форматам передачи данных, фокусируясь на согласовании процессов обмена информацией и обеспечении её защиты, а также на выполнении соглашений между участниками обмена. Целями защищенного обмена являются управление соответствующими киберрисками и обеспечение защищенности информации на уровне не меньшем, чем в организации-источнике информации, что достигается применением мер ИБ и подписанием юридически значимых договоренностей.
В рамках публикации NIST SP 800-47 рассматривается защищенный доступ и обмен данными между информационными системами, которые управляются различными организациями/подразделениями или которые пересекают границы авторизации систем (термин из публикации по управлению киберрисками NIST SP 800-37, означающий формальную зону ответственности за ИТ-системы).
Для управления и обеспечения защиты информационного обмена в документе NIST SP 800-47 предлагается использовать структурированный подход, состоящий из 4 фаз:
- Планирование информационного обмена (выработка соглашений, согласование методов, оценка систем и ИТ-инфраструктуры);
- Установление защищенного обмена (внедрение и конфигурирование СЗИ, подписание соглашений);
- Поддержка обмена и соответствующих соглашений (поддержка состояния защищенности установленного информационного обмена, проверка выполнения требований заключенных соглашений и их актуализация при необходимости);
- Завершение информационного обмена (плановое, с сохранением работоспособности не участвовавших в обмене систем, или внеплановое, например, в результате инцидента ИБ).
В документе подчеркивается, что, несмотря на очевидные преимущества обмена информацией (экономия, функциональность, эффективность), компании подвергаются определенным киберрисками, таким как угрозы перехвата/изменения/подделки передающейся по каналу обмена информации или использования канала обмена данных для проведения кибератак. Ситуация осложняется также тем, что компания-участник обмена не может в полной мере контролировать защищенность других участников и передающейся ими информации, а также могут иметь различные уровни риск-толерантности к передающимся данным. При этом, полученные заранее сведения о типах данных, подлежащих обмену, уровнях конфиденциальности обмениваемой информации, а также методах её дальнейшего использования помогут корректно обработать соответствующие киберриски и выполнить требования кибербезопасности, включая защиту информации при передаче в рамках обмена и дальнейшей её обработке/хранения.
Следуя положениями NIST SP 800-47, защищенный обмен информации следует выстраивать в соответствии со следующими этапами:
1. Планирование информационного обмена:
1.1. Создание объединенной рабочей группы по планированию, включающей представителей организаций-участников планируемого информационного обмена (владельцы систем, владельцы бизнес-процессов, системные и сетевые администраторы, администраторы информационной безопасности). Данная рабочая группа отвечает за координацию действий участников, назначение ответственных и выделение ресурсов, в дальнейшем также выступая площадкой для решения вопросов.
1.2. Определение бизнес-сценария использования информационного обмена с четким пониманием цели обмена, потенциальных преимуществ, затрат и рисков. Кроме того, следует учитывать законодательные ограничения обмена определенной информацией (например, персональными данными, коммерческой или банковской тайной).
1.3. Применение к используемым при информационном обмене системам положений фреймворка управления рисками NIST SP 800-37 ”Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy” («Фреймворк управления рисками для информационных систем и организаций: жизненный цикл систем для обеспечения безопасности и конфиденциальности»), о котором мы писали ранее.
1.4. Определение требований по защите информации при обмене, учитывая следующие факторы:
1.4.1. Применимые законодательные нормы, стандарты, политики, рекомендации.
1.4.2. Оценка киберрисков нарушения конфиденциальности, целостности, доступности обмениваемой информации для выбора адекватных мер ей защиты и выделения соответствующих ресурсов. При этом организация-источник информации формулирует свои требования по защите данных в заключаемых между сторонами обмена соглашениях.
1.4.3. Необходимость минимизации объема обмениваемой информации (не больше, чем следует для выполнения бизнес-цели), оценка надежности и доступности инфраструктуры для информационного обмена, анализ взаимосвязей информационных систем организаций для выявления факторов, увеличивающих риски обмена информацией.
1.4.4. Оценка ущерба от нарушения конфиденциальности, целостности, доступности обмениваемой информации для выбора адекватных мер защиты.
1.4.5. Способ информационного обмена (например, обмен файлами по электронной почте, общий доступ к облачному хранилищу, настройка VPN-туннеля между сетями компаний-участников обмена).
1.4.6. Влияние информационного обмена на существующую ИТ-инфраструктуру и операционные ИТ-процессы: определение достаточности текущих ресурсов и возможностей компонент ИТ-систем для поддержки выбранного способа информационного обмена или приобретение и установка новых компонент аппаратного/программного обеспечения. Следует также учесть потенциальное влияние новых компонент для информационного обмена, планируемых к установке в ИТ-инфраструктуре: необходимость в их дальнейшей поддержке, защите, администрировании.
1.4.7. Зависимость ИТ-систем, участвующих в информационном обмене, от поступающей по каналам обмена информации или от самого канала обмена, с возможной выработкой планов на случай чрезвычайных ситуаций, резервированием каналов обмена, обеспечением избыточности ИТ-систем.
1.4.8. Детальные требования к аппаратному обеспечению с оценкой достаточности текущих ресурсов и с учетом вопросов совместимости оборудования.
1.4.9. Детальные требования к программному обеспечению с оценкой достаточности текущих ресурсов и с учетом вопросов совместимости софта.
1.4.10. Пользователи информационного обмена: определение требований к пользователям (форма допуска, результат проверки службой безопасности), формирование и актуализация списков доступа, управление учетными записями.
1.4.11. Службы и приложения, предоставляемые и используемые организациями-участниками для информационного обмена (например, сервисы электронной почты, защищенного файлообмена, аутентификации пользователей).
1.4.12. Определение ролей и ответственных за создание, поддержку и управление информационным обменом, с учетом профессиональных компетенций сотрудников.
1.4.13. Выработка расписания для планирования, создания и поддержки информационного обмена, включая условия пересмотра или прекращения обмена (например, ежегодный пересмотр соглашения об информационном обмене для проверки его актуальности и достаточности используемых мер защиты).
1.4.14. Затраты и бюджетирование с учетом расходов на планирование, создание и поддержку информационного обмена, затрат на программное/аппаратное обеспечение, средства защиты, персонал, каналы связи, физическую безопасность, обучение и тестирование. Кроме того, следует запланировать распределение затрат между всеми участниками информационного обмена.
1.4.15. Наименование элементов в базах данных для использования единообразного совместимого формата.
1.4.16. Назначение владельцев информации и ответственных при информационном обмене: становится ли организация, принявшая информацию, владельцем этой информации, или она становится лишь ответственным (англ. custodian), а владельцем остается организация-источник.
1.4.17. Меры обеспечения кибербезопасности для защиты конфиденциальности, целостности, доступности обмениваемой информации и ИТ-систем, которые ее обрабатывают, хранят или передают. Требования информационной безопасности зависят от оценки потенциального ущерба нарушения свойств безопасности обмениваемой информации и ИТ-систем, а также от риск-толерантности организации и результатов оценки киберрисков. Меры могут включать в себя: разделение обязанностей (между пользователями и организациями-участниками информационного обмена), реагирование на киберинциденты и подозрительные события ИБ (типы инцидентов, способы уведомления ответственных лиц организаций-участников, причина инцидента, затронутые инцидентом данные или приложения, прогнозируемый ущерб), планирование на случай чрезвычайных ситуаций при сбоях или катастрофах, создание резервных копий информации (с указанием типов резервируемой информации, частоты создания бэкапов, ответственных), управление конфигурациями систем обмена информацией, правила использования систем обмена информацией (с доведением до сотрудников самих правил и ответственности за невыполнение под роспись), обучение сотрудников, допущенных до работы с обмениваемой информацией и ИТ-системами обмена.
1.5. Подписание соглашений об информационном обмене, уровень и значимость которых зависят от важности информации (т.е. потенциального ущерба от нарушения её защищенности) и от способа обмена информацией. В соглашениях должны быть прописаны порядок и способы использования информации и системы обмена, роли и ответственные, обязательные к выполнению условия совместной работы. В документе NIST SP 800-47 приводятся возможные типы соглашений: соглашение об обеспечении безопасности соединения (Interconnection Security Agreement,ISA), меморандум о взаимопонимании (Memoranda of Understanding, MOU), меморандум о договоренности (Memoranda of Agreement, MOA), соглашение об обмене информацией (Information Exchange Agreement, IEA), соглашение об уровне обслуживания (Service-Level Agreement, SLA), пользовательское соглашение (User Agreement), соглашение о доступе (Access Agreement), соглашение о приемлемом использовании (Acceptable Use Agreement), соглашение о неразглашении (Non-Disclosure Agreement, NDA), внутрикорпоративные форматы соглашений, а также системы контроля и учета, включая SGRC-системы.
1.6. Согласование (или отказ) информационного обмена уполномоченным лицом - руководителем с правом принятия документируемого решения о приемлемости соответствующего киберриска на основании данных, переданных объединенной рабочей группой по планированию информационного обмена.
1.7. Срочный обмен информацией допустим в случае экстренных ситуаций, при которых владельцы информации или ИТ-систем должны, как минимум, задокументировать факт срочной передачи информации, описание экстренной ситуации, а также участников и их роли в срочном обмене. После завершения экстренной ситуации произведенная срочная передача информации анализируется постфактум для возможной корректировки процесса обмена информацией или проверки защищенности срочно переданных сведений.
2. Установление защищенного обмена:
2.1. Разработка плана внедрения обмена информацией, включающего описание используемых ИТ-систем, оценку уровня влияния на обмениваемую информацию, определение ролей и ответственных за информационный обмен, указание задач и процедур внедрения, описание мер защиты конфиденциальности, целостности, доступности обмениваемой информации, а также с указанием критериев оценки выстроенных мер защиты, описанием требований по прохождению соответствующего обучения сотрудниками и приложением всей сопутствующей применимой документации.
2.2. Выполнение плана внедрения (после его согласования):
2.2.1. Установка и/или настройка программного и аппаратного обеспечения.
2.2.2. Внедрение и/или настройка средств защиты информации.
2.2.3. Интеграция приложений/служб для обмена информацией.
2.2.4. Проведение операционного и security-тестирования для оценки корректности работы системы обмена информацией и выполнения в ней всех требований по информационной безопасности.
2.2.5. Проведение обучения для сотрудников, участвующих в информационном обмене.
2.2.6. Актуализация планов обеспечения безопасности информационного обмена для соответствия изменениям в ИТ-инфраструктуре и бизнес-процессах.
2.2.7. Проведение аудитов уровня кибербезопасности и согласование изменений в ИТ-системах, участвующих в информационном обмене.
2.3. Запуск информационного обмена с мониторингом и документированием корректности выполнения процессов обмена, обращений пользователей системы обмена, событий безопасности в задействованных ИТ-системах.
3. Поддержка информационного обмена:
3.1. Поддержка четкого порядка коммуникаций между организациями-участниками для оперативного решения вопросов информационного обмена.
3.2. Поддержка систем и их компонент, использующихся для информационного обмена.
3.3. Управление учетными записями пользователей системы обмена информацией.
3.4. Проведение аудитов информационной безопасности с согласованной периодичностью, при внесении значительных изменений или в соответствии с внутренней политикой непрерывного мониторинга.
3.5. Анализ журналов безопасности для выявления подозрительных или необычных действий.
3.6. Реагирование на киберинциденты в системе обмена информацией в соответствии с разработанными планами реагирования с привлечением компетентных сотрудников организаций-участников при необходимости.
3.7. Координация планов на случай чрезвычайных ситуаций организаций-участников информационного обмена.
3.8. Управление внесением изменений с оценкой влияния вносимых изменений на обмен информацией и своевременным уведомлением организаций-участников.
3.9. Пересмотр и актуализация соглашений (между организациями-участниками) и планов обеспечения кибербезопасности системы обмена информацией.
3.10. Пересмотр бизнес-потребности в обмене информацией с согласованной периодичностью для выявления текущей необходимости функционирования системы информационного обмена.
4. Завершение информационного обмена:
4.1. Плановое завершение в результате достижения бизнес-цели, при неприемлемом возрастании накладных расходов на систему обмена, при невыполнении участниками соглашений или требований безопасности, изменение состояния систем или оборудования, возрастание соответствующих киберрисков до неприемлемых уровней. При плановом завершении информационного обмена следует своевременно уведомить организации-участников для согласования изменения/удаления компонент системы обмена, удаления полученных данных, уведомления пользователей системы обмена.
4.2. Экстренное завершение информационного обмена может потребоваться в результате кибератаки, вторжения хакеров или иных чрезвычайных ситуаций. В этом случае, возможно, придется принудительно и без предварительного согласования отключить информационный обмен. После выполнения процедур реагирования и завершения внутреннего расследования причин инцидента следует сообщить информацию о нем организациям-участникам и согласовать условия возобновления информационного обмена.
4.3. Возобновление информационного обмена возможно после кратковременного прерывания (например, в результате атаки) по завершению процедур реагирования и после внесения необходимых изменений для недопущения повторения инцидента в дальнейшем. В случае долгосрочного прерывания (несколько месяцев или дольше) всем организациям-участникам потребуется провести новую оценки киберрисков, повторно изучить все предыдущие сложности и ошибки, разработать новые соглашения.
