среда, 27 июля 2011 г.

СОИБ. Проектирование. Распределение ролей по ИБ в Банке 2

Продолжу тему о распределении ролей, поднятую мной в предыдущей заметке.
Детально изучив требования СТО БР ИББС к мероприятия по обеспечении ИБ мы приходим к следующему перечню персональных ролей, которые необходимо определить и персонифицировать небольшом типовом Банке:

1. Ответственный за эксплуатацию СЗИ
2. Ответственный за антивирусную защиту
3. Ответственный за установку ПО
4. Ответственный за эксплуатацию СВТ
5. Администратор ИС
6. Администратор информационной безопасности
7. Ответственный за безопасность помещений
8. Ответственный за безопасность персонала
9. Ответственный за прием на работу
10. Ответственный за использование ресурсов Интернет и электронной почты
11. Ответственный за непрерывность бизнеса
12. Ответственный за обработку ПДн
13. Ответственный за обеспечение безопасности ПДн
14. Ответственный за оценку рисков ИБ
15. Ответственный за планирование обработки рисков ИБ
16. Ответственный за разработку нормативного документа
17. Ответственный за планирование обучения в области ИБ
18. Ответственный за реализацию обучения в области ИБ
19. Ответственный за контроль обучения в области ИБ
20. Ответственный за управление инцидентами ИБ
21. Ответственный за мониторинг ИБ
22. Ответственный за контроль СОИБ
23. Ответственный за проведение проверки
24. Ответственный за проведение самооценки ИБ
25. Ответственный за организацию самооценки ИБ
26. Ответственный за организацию аудита ИБ
27. Ответственный за анализ функционирования СОИБ
28. Ответственный за улучшение СОИБ
Данный перечень дополняют существующие в АБС роли, а так-же следующие групповые роли:
29. Комиссия по ИБ
30. Группа реагирования на инцидент ИБ
31. Группа восстановления после прерываний
32. Группа участвующая в самооценке ИБ
33. Группа участвующая в проверке ИБ
и уже существующие роли, присущие каждому банку:
34. Правление Банка
35. Руководитель структурного подразделения
36. Сотрудник
Ролей, связанных с СОИБ, достаточно много.
Как можно по-проще документально определить большое количество ролей?
СТО БР ИББС-1.0 дает следующее определение:
«3.19. Роль: Заранее определенная совокупность правил, устанавливающих допустимое взаимодействие между субъектом и объектом.
Примечания
1. К субъектам относятся лица из числа руководителей организации банковской системы Российской Федерации, ее персонала, клиентов или инициируемые от их имени процессы по выполнению действий над объектами.
2. Объектами могут быть аппаратное средство, программное средство, программно-аппаратное средство, информационный ресурс, услуга, процесс, система, над которыми выполняются действия.»
В соответствии с данным определением мы готовим Паспорта ролей, содержащие наименование роли (определяет субъекта), область ответственности (определяет объекты), обязанности роли (определяет правила допустимого взаимодействия между субъектом и объектом). Пример, Паспорта ролей ниже:
Наименование роли
Область ответственности
Обязанности
Ответственный за оценку рисков ИБ
1. Перечень информационных активов
2. Перечень рисков ИБ
В соответствии со «Стандартом управления рисками ИБ»:
1. Идентифицировать все имеющиеся информационные активы в области действия СОИБ
2. Идентифицировать множества всех возможных угроз влияющих на безопасность информационных систем
3. Оценивать тяжесть последствий угроз
4. Оценивать возможности реализаций угроз
5. Оценивать риски ИБ
Ответственный за планирование обработки рисков ИБ
План обработки рисков ИБ
В соответствии со «Стандартом управления рисками ИБ»:
1. Определять способы обработки недопустимых рисков, в том числе требований по обеспечению ИБ
2. Определять защитные меры, реализующие требования по обеспечению ИБ и снижаются риск до допустимого уровня.
Таким образом можно достаточно просто определить все необходимые роли в области обеспечения ИБ.

12 комментариев:

Maximus комментирует...

Часто роль ИБ-гуру берет на себя непосредственно высшее руководство. Как нетрудно догадаться, чаще всего это приводит к не самым лучшим последствиям для ИБ организации – в лучшем случае установка ненадежной длп-системы (http://ukrbizsec.blogspot.com/2011/07/8-mcafee-dlp.html), в худжем – в корне неправильное построение политики ИБ.

Юрий комментирует...

Не уверен в целесообразности выделения ролей в паспорта. Роли и функции определяются в политиках, положениях и порядках. При вводе документа в работу приказом этим же приказом и назначают ответственных на роль. Чем данная классическая схема вам не угодила?

Сергей Борисов комментирует...

Как я приводил в публикации:
http://sborisov.blogspot.com/2011/07/blog-post_07.html

Желательно определить несколько легитимных способов определения и персонификации ролей.

Мое мнение, что при массовом определении или переопределении основных ролей удобнее их ввести одним документом.
В дальнейшем может быть достаточным определение в политиках, регламентах и т.п.

Вариант который привели Вы, недостаточен.

"7.2.2. Роли следует персонифицировать с установлением ответственности за их выполнение. Ответственность должна быть документально зафиксирована в должностных инструкциях.”"
Следовательно придется делать ссылки
на документы, в которых определяются роли.

Достаточно удобно если все ссылки будут на один документ (Политика распределения ролей), в котором и определены роли.

Юрий комментирует...

никогда бы не посоветовал этим заниматься.
Для кого удобно? Для себя или аудиторов? Зачем? Просто? Заняться нечем? Представьте, что определенная документальная процедура будет немного переделана, в ней изменятся роли. Это авоматически влечет изменение вами предлагаемого документа. Теперь представим, что таких процедур оперирующих ролями и определяющих роли, а так же ролевые функции и действия много. Значит ваш документ с ролями будет очень динамичным и в конечном счете на него забьют, аудиторам достаточно того, что я вам привел. Ведение отдельных документов типа предлагаемого вами - доп обуза. Да ведите его если удобно, его уровень 4 по шкале стобра.

Нет, Сергей, своим клиентам я бы не советовал такого.

Сергей Борисов комментирует...

Юрий, моё мнение, что вариант который привели вы не соответствует букве стандарта.
Цитату я привел.

При изменении ролей в политиках и регламентах как минимум придется вносить изменения в должностную инструкцию и выпускать приказ.
Что мешает при этом внести изменения в паспорта ролей?

При введении большого количества ролей одновременно (например, когда Интегратор разработал большой комплект документов), а так-же при централизованном управлении ими - единый перечень и паспорта ролей очень удобны.

Юрий комментирует...

забавно. Совсем разные взгляды. Вы предлагаете при изменении ролей в каком нибудь положении фиксировать это изменение в ДИ?
Сложно писать с сотового, но вкратце. Роли в иб не всегда совпадают с должностями. Например может созваться временный комитет по ЧС, согласно положению, предполагается наличие секретаря.это тоже роль. И в чью ДИ вы будете писать функции данной роли, если человек назначается с разных должностей? Да и ролей таких может быть много. Такие роли часто называют специальными.

Юрий комментирует...

да и роли вообще сами по себе ничего не стоят, они стоят в контексте описания и выполнения какой либо деятельности. Все остальное это просто так, чтоб аудитор нетребовательный отстал.

Юрий комментирует...

я понял наше недопонимание друг друга. В стандарте сказано, что ответственность должна быть установлена в ДИ. Ну не стоит все воспринимать так буквально. В ДИ просто указывается, что сотрудник несет всякую ответственность за невыполнение функций указанных и требуемых в данной ДИ и других нормативных документах Банка.
Это позволяет задействовать ответственность на специальные и временные роли. Я настоятельно против трогать ДИ требованиями и функциями стобра в такой динамично изменяющейся среде.

В конце концов вспомните кто утверждает ДИ, а кто политики и положения.

Юрий Шел комментирует...

Сергей, понял откуда ветер дует.
РС БР ИББС-2.5—20хх ?

Да простят разработчиков этих рекомендаций сотрудники СИБ.

:):):)

LiTTO#13 комментирует...

Сергей, мне нравится ваш подход и идеи.
Однако, я считаю, что более целосообразен такой вариант:

1) Разрабатываем и вводим в организацию общий документ "Политика распределения ролей".
Описываем основные положения, область и принципы действия.

2) Вводим документ "Процедура распределения ролей".
Описываем принципы персонализации ролей.
Определяем требонивание, что роли в АС назначаются на основании заявки на доступ в АС.
Определяем обязанности руководителей структурных подразделений в области распределения прав и ведения актульной матрицы ролей.
В приложении к процедуре - матрица ролей (описано в пункте 3).
В приложении к процедуре - Типовой Приказ о назначении сотруднику роли в организации.
В приложении к процедуре - паспорта ролей в организации.
Паспорт роли будет содержать: Наименование роли, Область ответственности, Функции. (т.е. ваш вариант, только более подробное описание роли)

3) Вводим документ "Матрица ролей".
Матрица будет содержать:
Ф.И.О. сотрудника, Наименование роли в АС, Область ответственности, Функции, Дата назначения, Подпись.
Ф.И.О. сотрудника, Наименование роли в организации, Область ответственности, Функции, Дата назначения, Подпись.
(тут краткого описания будет достаточно).

4) Дополняем должностные инструкции:
Убираем все функции и обязанности сотрудников.
В ДИ назначаем всем сотрудникам роль - сотрудник банка.
Вносим требование выполнять все назначенные сотруднику роли. Описываем, что все назначенные роли содержатся в матрице ролей.
Вносим ответственность за выполнение назначенных сотруднику ролей.

Итого:
В итоге мы получим, что руководители структурного подразделения будут вести актуальные матрицы для своих подчиненных. Матрицы будут отображать список работников и их назначенные ролей в АС и бизнес-процессе. В каждый момент времени мы сможем ответить на вопрос: "Какие роли назначены сотруднику Иванову?".

+ Есть актуальная матрица работников и назначенных ролей для каждой структурной единицы
+ При изменении функций роли необходимо будет поменять только процедуру (приложение к ней)
+ При измение функций роли в АС будет только необходимо изменить заявки на доступ в АС, а не нашу процедуру.
+ Если сотрудник меняет роли, то надо будет только обновить матрицу на уровне структурного подразделения.

- Измение должностных инструкций (хотя их в любом случае надо будет менять).
- Введение новых документов в организацию
- Описание ролей в АС будет отсутствовать в нашем паспорте (но как +, не надо будет изменять паспорт при измение роли в АС).
- Жду от вас Замечаний и Предложений!

Спасибо

Сергей Борисов комментирует...

Да, матрица ролей это отличная штука.
Я примерно так и предполагал, только думал что это будет чисто внутренний документ АИБ.
То что вы предлагаете ещё собирать подписи с пользователей и соответственно предоставлять пользователям доступ к матрице ролей - интересно. Хотелось бы знать, будет ли работать.

LiTTO#13 комментирует...

Сергей, дать матрицу в руки АИБ была моей первоначальной идеей )).
Однако, коллеги меня переубедили.

В данной ситуации получим:
+ Единая матрица по всем сотрудникам

- Большой размер и Актуальность матрицы.
Мне кажется, что руководители быстро забьют на предоставлении информации в СИБ.
Хотя, тут надо подумать, ведь СИБ должна согласовывать заявки в АС и при увольнении отбирать права у работников.

Думаю, что я зря отказался от первоначальной идеи. Ваши слова меня приободрили ))). Надо будет повторно проанализировать эту ситуацию.

Тогда во втором случае:
Организовываем процесс, чтобы все приказы о приеме сотрудника, заявки на доступ в АС, приказы о назначении на роль поступали и согласовывались с СИБ.
Организовываем обучение\ознакомление работников с ролью под роспись.

И еще будет необходимо организовать периодический контроль выполнения данного процесса.

Для матрицы ролей получается две возможные ситуации.
Сергей, какие дополнительные предложения или замечания вы можете предложить? Коллеги, присоединяйтесь!