Профессиональное проектирование систем управления информационной безопасностью

 

Во-первых, подобная система в состоянии систематизировать существующие (а также планируемые) процессы обеспечения информационной безопасности. Во-вторых, она может отслеживать выполнение этих процессов, вносимые в них изменении. В-третьих, система управления ИБ позволяет обеспечить такой немаловажный аспект, как прозрачность системы ИБ.

 

Ошибочно считать, что «заумные» фразы далеки от главной задачи, которую хотят осуществить все без исключения топ-менеджеры, не очень хорошо знакомые с ИТ, и многие ИТ-специалисты, узко понимающие проблему «мне/нам нужна система без всяких вирусов и хакеров. В действительности только такой комплекс высокоэффективных и легкоуправлясмых процессов, относящихся к различным категориям - организационным, физическим и другим, - в состоянии реализовать по-настоящему качественную систему управления информационной безопасностью как сети компании, так и других ресурсов.

 

Стоит сказать несколько слов о необходимости построения системы управления ИБ. Ведь можно ограничиться внедрением лишь отдельных средств зашиты и не разрабатывать никаких регламентов и процедур расследования инцидентов Все зависит, во-первых, от ценности информационных ресурсов, а во-вторых от зрелости информационной системы и принятых политик работы с критическими данными. Поэтому однозначно отвтетить на этот вопрос нельзя. Но. как правило, если компания начала внедрять средства ИБ, то рано или поздно настанет день, когда разросшуюся систему нужно будет укрощать, и делать это придется с помощью системы управления ИБ.

 

При построении системы управления ИБ необходимо опираться на какой-либо нормативный документ. В соответствии с международным опытом воспользуемся ISO 27001. Документ ISO 27001 - стандарт, регламентирующий различные аспеткты управления безопасностью, такие как использование ресурсов, обеспечение физической безопасности, контроль доступа и прочее. При создании системы управления ИБ можно выделить четыре этапа:

  • подготовка
  • анализ рисков
  • разработка
  • внедрение

Этап подготовки включает в себя определение области внедрения системы, выявление несоответствий имеющихся процессов обеспечения ИБ требуемым правилам. Необходимо провести все подготовительные меры, собрать и проанализировать имеющуюся в распоряжении информацию о стратегии, процессах и наличии или отсутствии технических средств. Обязательно нужно уделить внимание и формированию рабочей группы, отвечающей за внедрение системы управления ИБ

 

Следующий этап - анализ рисков. Здесь несколько промежуточных этапов: инвентаризация имеющихся активов (с учетом ранее очерченной области внедрения) определение их ценности, угроз, которым они подвержены, оценка рисков (рассматривающая выполнение соотношения актив, ценность/реализованная угроза) и, наконец, их принятие/отклонение с учетом выработанных критериев и составление плана работы/устранения (или скорее адекватной минимизации) рисков.

 

Под словом «разработка» подразумевается работа над политиками и процедурами. Процедуры - это так называемые составляющие системы управления (например, процедура управления документацией) В процессе внедрения происходят запуск и отладка ранее созданных процессов и компонентов. Далее следуют этапы поддержки и сопровождения функционирующей системы и постоянный аудит информационной безопасности.

 

Стоит отметить, что управление ИБ - это непрерывный процесс, в котором основной движущей силой создания и развития системы является периодическая оценка рисков ИБ на основе результатов внутренних и внешних аудитов