Информационная безопасность как сервисный процесс

Валерий Любичев, руководитель группы по информационной безопасности ООО «ЛУКОЙЛ Узбекистан Оперейтинг Компани»

Начиная работу в компании, любой специалист в области информационной безопасности (далее ИБ) первым делом оценивает бизнес, его процессы, риски и отношение руководства и рядовых работников к ИБ в целом. На основе этих данных выбирается стратегия.

Стратегия ИБ – это комплекс мероприятий, направленный на формирование нормативной, программной и аппаратной баз в организации.

Реализация выбранной стратегии может быть осуществлена на основании одной из трех наиболее часто встречающихся моделей:

  • Государственной;
  • Частной;
  • Сервисной.

Каждая из представленных моделей соответствует серии международных стандартов ISO 27000 и действующему законодательству, но кардинально отличается методами их внедрения и средствами реализации.

В данной статье я подробно остановлюсь лишь на одной модели: сервисной, которая оптимально подходит для бизнеса, доходы которого напрямую не зависят от уровня обеспечения ИБ.

Рассмотрим наиболее важные аспекты Сервисной модели:

Положительные аспекты:

  • Наличие четких руководящих документов в области ИБ (законы, стандарты);
  • Возможность завышения требований обеспечения ИБ относительно стандартов;
  • Низкая ответственность специалистов ИБ;
  • Ограничения носят характер предупреждающих мер.

Отрицательные аспекты:

  • Приоритет ИТ над ИБ;
  • Отсутствие достаточного финансирования;
  • Отсутствие заинтересованности у рядовых работников в повышении уровня знаний в области ИБ;
  • Отсутствие должного контроля со стороны надзорных органов;
  • Низкая лояльность руководства;
  • Отсутствие четкости при определении защищаемой информации;
  • Невозможность прогнозирования финансового ущерба от наступления рисков.

Рассмотрим теперь, как именно внедрить Сервисную модель на предприятии, учитывая перечисленные аспекты.

Итак, изучив сферы деятельности бизнеса, его процессы и потребности, а также уровень грамотности рядовых работников в области ИБ, необходимо приступить к разработке базы нормативно-распорядительных документов (НМД), учитывающей результаты проведенного исследования.

При формировании базы НМД, следует тесно взаимодействовать с руководством компании. Это облегчит понимания положительного эффекта от планируемых к внедрению мер. Для того чтобы упростить этот процесс, в первую очередь, нужно представить материалы, доказывающие, насколько эффективно станут использоваться ресурсы информационных систем, и как это упростит и повысит эффективность основных бизнес-процессов. Так, например, процесс категорирования информации и упорядочивание доступа положительно скажется на объемах дискового пространства файловых серверов и простоте процедуры поиска требующихся данных.

Следует также обратить внимание на то, что большинство из внедряемых методов, должны носить не карательный и/или запрещающий, а упреждающий эффект, что позволит обеспечить более высокий уровень соблюдения принятых НМД по ИБ. В этом можно убедиться на примере доступа к сети Интернет, который должен регулироваться исключительно исходя из решаемых работниками задач, а ограничения должны вводиться только для повышения качества предоставляемого сервиса.

Важную роль при таком подходе играют правильно расставленные приоритеты в мониторинге значимых событий и организация уведомлений в адрес специалистов по ИБ. Иными словами, лучше обеспечить протоколирование событий использования внешних почтовых сервисов, программ быстрого обмена текстовыми и голосовыми сообщениями, а также сменных электронных носителей информации, чем вовсе запретить их использование. При этом будет оптимальной настройка извещений специалистов по ИБ об обращении к конфиденциальному контенту.

Особое внимание стоит уделить обучению работников в связи с изменившимися условиями: провести тренинги, дать точные указания по выполнению и порядку осуществления операций в информационных системах.

Не стоит забывать о настройке механизма проведения анализа и выработки реагирующих мер на возникающие инциденты, и обеспечении участия ИБ-специалистов в процессе разработки ИТ-проектов.

Результатом внедрения сервисной модели становится вовлеченность руководства в обеспечение ИБ, проведение регулярных встреч, совещаний и консультаций. Непрерывный процесс обучения работников, в том числе вновь принимаемых на работу, инструктажи, тренинги и семинары. Четкая и понятная нормативно-распорядительная документация, однозначно трактующая действия и максимально охватывающая все бизнес процессы. Изучение рынка на предмет новых сервисов и услуг ИТ. Инициирование внедрения решений по оптимизации бизнес процессов. Вовлеченность в бизнес процессы, а также обеспечение регулярного мониторинга и аудита деятельности как ИБ, так и ИТ служб.


Другие статьи
Поделиться:
 
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.