3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В

^ 3 Развитие службы информационной безопасности
Совместно с развитием хоть какой российскей компании (и ростом цены ее информационных активов) в той же мере развивается и служба информационной безопасности. При всем этом определение стратегии и стратегии 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В работы службы информационной безопасности становится одной из главных функций ТОР-менеджмента компании. Вправду, сейчас фуррор реализации политики информационной безопасности компании зависит не только лишь от организационных и технических решений в области защиты 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В инфы, да и от квалификации и компетентности соответственных кадров. Вспомним узнаваемый тезис: «Кадры решают все!».

Покажем роль и место службы информационной безопасности в организационной структуре компании, также попробуем сконструировать современные квалификационные требования к 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В сотрудникам этой службы.

Вероятная организационная структура ТОР-менеджмента компании, ответственного за компанию режима информационной безопасности, представлена на рис. 1.1.

Согласно исследованию KPMG за 2002 год (см. приложение 1) в более благополучных исходя из убеждений 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В ИБ западных компаниях функцией обеспечения информационной безопасности занимается отдельное подразделение, наделенное возможностями и имеющее поддержку высшего управления компании. При всем этом практически в половине «успешных» компаний ответственность за ИБ закреплена за советом директоров 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В, что более типично для денежного сектора. Вправду, конкретное роль ТОР-менеджмента организации требуется для корректного определения и постановки «правильных» целей и задач в области ИБ, позволяющих без вреда для бизнеса компании обеспечивать 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В информационную безопасность. Не считая того, обычно, только управление компании способно поддержать обеспечение безопасности соответствующим уровнем инвестирования и другими необходимыми ресурсами.

В русских компаниях в текущее время наблюдаются последующие главные тенденции развития 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В службы ИБ:




Рис. 1.1. Организационная структура ТОР 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В-менеджмента компании, ответственного за обеспечение безопасности

Поглядим сейчас, каким квалификационным требованиям должен соответствовать управляющий современной службы информационной безопасности (CISO).

Основная задачка CISO - оценка технологических, производственных и информационных рисков компании и управление 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В ими. Это подразумевает, что данный спец должен быть способен идентифицировать опасности и управлять ими в согласовании с целями и задачками компании и текущим уровнем ее развития. Дополнительно свою специфику заносит сфера 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В деятельности компании, также ее размер и цена информационных активов.

Основными функциями CISO могут быть последующие:

Представляется разумным, чтоб управляющий службы информационной безопасности (CISO 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В) заходил в верхний эшелон управления компанией и умел увязывать потребности бизнеса и требования безопасности с учетом степени развития информационных технологий, возросшей активности различного рода злоумышленников, изменяющихся положений законодательства, также ожиданий партнеров 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В по бизнесу. При всем этом отметим, что потребности бизнеса могут вступать в противоречие с требованиями обеспечения информационной безопасности. В данном случае CISO должен быть в состоянии «переводить» технические вопросы и задачи 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В на язык, понятный представителям российского бизнеса. В свою очередь это значит, что в дополнение к приличному основному и дополнительному образованию (сертификация CISSP (ISC2), SANS, MCSE, CISA, АВСР и пр.), также опыту работы 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В в области защиты инфы (более 3-5 лет) CISO, непременно, должен владеть некими личностными свойствами. К примеру, аналитическим складом мозга, возможностями в области стратегического и операционного менеджмента, лояльностью к организации и пр. Понятно 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В, что для этого недостаточно иметь только особое техническое образование, так же как экономическое либо управленческое. Потому позицию CISO, вероятнее всего, будут занимать аудиторы либо аналитики с достаточным опытом работы в сфере защиты инфы.
^ 4 Международная 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В практика защиты инфы
В текущее время сложилась принятая интернациональная практика (best practice) обеспечения режима информационной безопасности, используемая как в Рф, так и в других странах. Тут и дальше под информационной безопасностью 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В (ИБ) понимается защищенность инфы и поддерживающей инфраструктуры от случайных и намеренных воздействий естественного либо искусственного нрава, приводящих к нанесению вреда обладателям и юзерам инфы, также поддерживающей инфраструктуре в целом.

При обеспечении режима ИБ 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В довольно принципиальное место отводится задачкам анализа информационных рисков компании и управления ими. Вправду, в на- разных представителей российского бизнеса. Разглядим подробнее работы по обеспечению режима ИБ и покажем роль и место 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В задач анализа и управления рисками.

Вне зависимости от размеров организации и специфичности ее информационной системы работы по обеспечению режима ИБ обычно состоят из последующих шагов (рис. 1.2):



Рис.1.2. Обеспечение режима информационной безопасности 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В. Главные этапы

Ниже представлен развернутый 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В комментарий для каждого из перечисленных шагов.

Обычно, определение политики безопасности сводится к ряду практических шагов.

Шаг 1. Выбор государственных и интернациональных руководящих документов и эталонов в области ИБ и формулирование на их базе 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В главных требований и положений политики ИБ компании, включая:

Шаг 2. Выработка подходов к управлению информационными рисками и принятие решения о выборе уровня защищенности КИС. Уровень защищенности в согласовании с забугорными эталонами может быть наименьшим (базисным) или 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В завышенным. Этим уровням защищенности соответствует малый (базисный) либо полный вариант анализа информационных рисков.

Шаг 3. Структуризация контрмер по защите инфы по последующим главным уровням: административному, процедурному, программно-техническому.

Шаг 4. Установление порядка сертификации и аккредитации КИС на 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В соответствие эталонам в сфере ИБ. Предназначение периодичности проведения совещаний по теме ИБ на уровне управления, в том числе повторяющегося пересмотра положений политики ИБ, также порядка обучения всех категорий юзеров информационной системы 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В в области ИБ.

Понятно, что выработка политики безопасности организации - менее формализованный шаг. Но в ближайшее время конкретно тут сосредоточены усилия многих профессионалов по защите инфы. В итоге этот шаг удается формализовать все в 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В основном. Примером является доступное в Internet «Руководство по политике безопасности для автоматических информационных систем» [199], в каком довольно тщательно рассмотрены:

Последующий шаг - определение сферы (границ) системы управления информационной безопасностью и конкретизация целей ее сотворения.

На этом шаге определяются границы системы, для которой должен быть обеспечен режим ИБ. Соответственно 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В, система управления ИБ строится конкретно в этих границах. Само описание границ системы рекомендуется делать по последующему плану:

Обычно, на этом шаге составляется документ, в каком фиксируются границы информационной системы, перечисляются информационные ресурсы компании, подлежащие защите, приводятся система критериев и методики для оценки ценности информационных активов компании.

На шаге 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В постановки задачки оценки рисков обосновываются требования к методике оценки информационных рисков компании.

В текущее время есть разные подходы к оценке рисков. Выбор подхода находится в зависимости от уровня требований, предъявляемых в 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В организации к режиму информационной безопасности, нрава принимаемых во внимание угроз (диапазона воздействия угроз) и эффективности возможных контрмер по защите инфы. А именно, различают малые, либо базисные, и завышенные, либо полные, требования к 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В режиму ИБ.

Наименьшим требованиям к режиму ИБ соответствует базисный уровень ИБ. Такие требования используются, обычно, к типовым проектным решениям. Существует ряд эталонов и спецификаций, в каких приводится малый (типовой) набор более возможных 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В угроз, таких как вирусы, сбои оборудования, несанкционированный доступ и т.д. Для нейтрализации этих угроз непременно должны быть приняты контрмеры - вне зависимости от вероятности их воплощения и уязвимости ресурсов. Таким макаром, свойства угроз 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В на базисном уровне рассматривать необязательно. Забугорные эталоны в этой области дискуссируются в главе 2.

В случаях, когда нарушения режима ИБ ведут к томным последствиям, базисного уровня требований к режиму ИБ недостаточно и предъявляются 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В дополнительно завышенные требования. Для формулирования дополнительных завышенных требований нужно:

Вероятные подходы к выбору дополнительных требований описаны в главе 3.

Невзирая на существенную разницу в методологии обеспечения базисного и завышенного уровней безопасности, можно гласить о едином подходе к организации режима ИБ 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В (рис. 1.3).



Рис. 1.3. Организация режима информационной безопасности

На шаге управления рисками разрабатывается некая стратегия управления рисками. К примеру, тут вероятны последующие подходы к управлению информационными рисками компании:

Разглядим обозначенные подходы подробнее.

Уменьшение рисков. Многие опасности удается существенно уменьшить за счет очень обычных и дешевеньких контрмер. К примеру, грамотное управление паролями понижает риск несанкционированного доступа.

^ Уклонение 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В от риска. От неких классов рисков можно уклониться. Так, вынесение Web-сервера организации за границы локальной сети дает возможность избежать риска несанкционированного доступа в локальную сеть со стороны Web-клиентов.

^ Изменение нрава 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В риска. Если не удается уклониться от риска либо отлично его уменьшить, можно принять некие меры страховки. К примеру:

^ Принятие риска. Многие опасности нельзя довести до пренебрежимо малой величины. На практике после принятия стандартного набора контрмер некие опасности уменьшаются, но остаются все еще важными. Следует знать остаточную величину риска.

В 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В итоге выполнения данного шага для принимаемых во внимание информационных рисков компании должна быть предложена стратегия управления рисками.

Последующий шаг - выбор контрмер, обеспечивающих режим ИБ. На этом шаге обоснованно выбирается комплекс разных 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В контрмер для защиты инфы, структурированных по нормативно-правовому, организационно-управленческому, технологическому и аппаратно-программному уровням обеспечения информационной безопасности. В предстоящем предлагаемый комплекс контрмер реализуется в согласовании с принятой стратегией управления информационными 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В рисками. Если проводится полный вариант анализа рисков, то для каждого риска дополнительно оценивается эффективность комплекса контрмер защиты инфы.

И в конце концов, на шаге аудита системы управления ИБ проверяется соответствие избранных 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В контрмер по защите инфы целям и задачкам бизнеса, декларированным в политике безопасности компании, производится оценка остаточных рисков и, в случае необходимости, оптимизация рисков. Вопросам аудита и процедуре сертификации информационной технологии на соответствие требованиям 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В ИБ посвящена глава 5.
^ 5 Модель Symantec LifeCycle Security
В качестве примера вероятной организации режима ИБ разглядим модель Lifecycle Security, разработанную компанией Axent (после приобретения Axent компанией Symantec модель получила заглавие Symantec Lifecycle Security). Модель Lifecycle 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В Security регламентирует и обрисовывает этапы построения корпоративной системы защиты инфы и организации режима ИБ компании в целом. Выполнение представленного в ней набора процедур позволяет системно решать задачки, связанные с защитой инфы, и 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В дает возможность оценить эффект от издержек на технические и организационные средства и меры защиты инфы. С этой точки зрения идеология Lifecycle Security может быть противопоставлена стратегии «точечных решений», заключающейся в том, что 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В все усилия концентрируются на внедрении отдельных личных решений (к примеру, межсетевых экранов либо систем аутентификации юзеров на базе смарт-карт либо e-Token). Без подготовительного анализа и планирования схожая 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В стратегия часто приводит к возникновению в корпоративной информационной системе набора разрозненных средств защиты инфы, которые несовместимы меж собой и не интегрируются вместе, что не позволяет отлично решить делему обеспечения информационной безопасности предприятия.

Модель Lifecycle 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В Security состоит из 7 главных шагов (рис. 1.4).



Рис. 1.4. Этапы модели LifeCyde Security

Политики безопасности, эталоны, процедуры и метрики. На этом шаге определяются границы и рамки, в каких осуществляются мероприятия по обеспечению информационной безопасности 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В, и задаются аспекты для оценивания приобретенных результатов. Отметим, что под эталонами тут понимаются не только лишь муниципальные и международные эталоны в сфере информационной безопасности, да и корпоративные эталоны, в ряде всевозможных случаев значительно действующие 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В на проект создаваемой корпоративной системы защиты инфы. Рекомендуемое введение метрики позволяет оценить состояние системы до начала, также после проведения работ по защите инфы. Не считая того, метрика устанавливает единицы измерения и порядок 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В измерения защищенности КИС, что дает возможность сопоставить издержки предприятия на ИБ и приобретенный эффект от внедренной корпоративной системы защиты инфы.

Анализ рисков. Этот шаг является собственного рода отправной точкой 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В для установления и поддержки действенного управления системой защиты. По данным анализа рисков удается тщательно обрисовать состав и структуру информационной системы (если по каким-то причинам это не было изготовлено ранее), ранжировать имеющиеся ресурсы по ценностям 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В, базируясь на степени их значимости для обычной работы предприятия, выявить опасности и идентифицировать уязвимости системы.

Стратегический план построения системы защиты. Результаты анализа рисков употребляются как база для разработки стратегического плана построения 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В системы защиты. Наличие подобного плана помогает распределить по ценностям бюджеты и ресурсы, а в следующем избрать средства защиты инфы и создать стратегию и стратегию их внедрения.

Выбор и внедрение решений 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В. Точные аспекты принятия решений в сфере защиты инфы и наличие программки внедрения уменьшают возможность приобретения средств защиты инфы, которые становятся «мертвым грузом», мешающим развитию информационной системы предприятия. На данном шаге следует также учесть качество 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В предоставляемых поставщиками сервисных и обучающих услуг. Не считая того, нужно верно найти роль внедряемого решения в выполнении разработанных планов и достижении поставленных целей в области защиты инфы.

Обучение персонала. Познания 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В в области информационной безопасности и технические тренинги необходимы для построения и обслуживания неопасной вычислительной среды компании. Усилия, затраченные на обучение персонала, окупаются значимым увеличением шансов на фуррор мероприятий по защите КИС.

Мониторинг защиты 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В. Данный шаг помогает выявить аномалии либо вторжения в корпоративную информационную систему, также позволяет оперативно держать под контролем эффективность системы защиты инфы.

Разработка способов реагирования в случае инцидентов и восстановление. Без наличия заблаговременно 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В разработанных и «отрепетированных» процедур реагирования на инциденты в сфере безопасности нереально гарантировать, что в случае обнаружения атаки действиям злодея будут противопоставлены действенные меры защиты и работоспособность системы получится стремительно вернуть.

Значительно, что 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В в модели Lifecycle Security все вышеуказанные этапы взаимосвязаны меж собой и подразумевается непрерывность процесса совершенствования корпоративной системы защиты инфы. При всем этом шагу анализа информационных рисков в данной модели отводится довольно 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В принципиальная роль. Анализ рисков рекомендуется проводить в случаях:

Главными моментами 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В анализа информационных рисков КИС являются:

Отметим 3 Развитие службы информационной безопасности - Петренко С. А., Симонов С. В, что метрика и мера защищенности КИС определяют функцию анализа рисков. С другой стороны, результаты анализа информационных рисков предоставляют нужные исходные условия для разработки либо совершенствования имеющейся корпоративной системы защиты инфы.


4-chto-takoe-likvidnost-httptext-tr200-biz-skachat-referati-kursovie-diplomnie-raboti.html
4-dejstviya-rabotnikov-organizacij-v-chrezvichajnih-situaciyah-tehnogennogo-haraktera-a-takzhe-pri-ugroze-soversheniya-terroristicheskih-akcij.html
4-deyatelnost-pedagoga-po-vospitaniyu-obuchayushihsya-analiticheskij-otchet-o-rezultatah-pedagogicheskoj-deyatelnosti.html