Что делать и с чего начать
«В соответствии с применяемыми сегодня стандартами ИБ - как западными, например, ISO 17799 и 27001, так и российскими, скажем, СТО БР ИББС 1.0-2006 - СУИБ строится на основе управления рисками. Но, не имея представления о ценности данных, которые могут быть утрачены, информационными рисками управлять невозможно. Однако иногда даже ключевые пользователи информационной системы затрудняются с оценкой ее значимости для компании.
Зачастую отчет, раскрывающий текущее состояние информационной системы и отражающий риски, которым она подвержена, может состоять из нескольких десятков или даже сотен страниц. При этом количество идентифицированных информационных рисков на крупном предприятии достигает иногда нескольких тысяч».
«Оценку IT-безопасности необходимо делать, обладая полным представлением обо всех аспектах функционирования информационных систем предприятия. А это означает, что начинать надо с IT-аудита, то есть сбора и структуризации информации обо всех имеющихся компьютерных ресурсах, используемом программном обеспечении и его конфигурации. Также необходимо классифицировать сведения по степени важности (или по стоимости потери/ разглашения), определить системы и узлы, задействованные в создании, хранении и модификации информации, а также соответствующие документопотоки.
Лишь после этого из общей IT-инфраструктуры можно вычленить участки, в первую очередь требующие оценки защищенности. И хотя от вредоносных программ и утечки данных следует защищать абсолютно все ресурсы (опыт показывает, что успешная атака на жизненно важные и серьезно охраняемые системы может быть проведена через незначительную брешь в защите второстепенного ресурса), оценить значимость всех выявленных рисков затруднительно. Это задача владельца информационного ресурса».
«В некоторых организациях требования по обеспечению ИБ не разработаны или неизвестны сотрудникам – механизм доведения информации о конфиденциальности отсутствует. Можно потратить много времени на построение безопасного периметра сети, установку межсетевых экранов и т.п., но если люди не имеют понятия о ценности информации, с которой они работают, все усилия могут оказаться тщетными».
«Серьезная проблема заключается в отсутствии культуры управления ИБ в компании. Несмотря на то что уже несколько лет отраслевые стандарты и передовой опыт доказывают нам, что работы по управлению ИБ должны носить динамический или даже циклический характер, менеджмент продолжает воспринимать их как разовые мероприятия.
Усугубляют проблему и некоторые поставщики решений в области ИБ, позиционируя свой продукт или услугу как решение, которое сразу удовлетворит все потребности предприятия в этом ресурсе.
К сожалению, невозможно в рамках одного проекта внедрить СУИБ и обеспечить необходимый уровень защищенности на долгие годы. Разумнее продумать долгосрочную стратегию, когда СУИБ выстраивается в виде серии проектов по ИБ, а одновременно проводится подготовка сотрудников организации в плане соответствующей информационной культуры.
С перечисленными проблемами связан вопрос срока реализации проекта. Как я уже сказал, оптимальный вариант – это серия проектов. Сначала создается базовая структура СУИБ, потом предприятие привыкает к ней, затем производится уточнение отдельных направлений. Если предприятие действительно заинтересовано в развитии ИБ, то через 2–3 года, реализовав 3–4 проекта длительностью 2–4 месяца, мы можем говорить, что процесс работы СУИБ запущен и функционирует. Участие консультантов потребуется только в виде периодических аудитов ИБ, и это уже будут небольшие 2–3-недельные проекты».
Зачастую отчет, раскрывающий текущее состояние информационной системы и отражающий риски, которым она подвержена, может состоять из нескольких десятков или даже сотен страниц. При этом количество идентифицированных информационных рисков на крупном предприятии достигает иногда нескольких тысяч».
«Оценку IT-безопасности необходимо делать, обладая полным представлением обо всех аспектах функционирования информационных систем предприятия. А это означает, что начинать надо с IT-аудита, то есть сбора и структуризации информации обо всех имеющихся компьютерных ресурсах, используемом программном обеспечении и его конфигурации. Также необходимо классифицировать сведения по степени важности (или по стоимости потери/ разглашения), определить системы и узлы, задействованные в создании, хранении и модификации информации, а также соответствующие документопотоки.
Лишь после этого из общей IT-инфраструктуры можно вычленить участки, в первую очередь требующие оценки защищенности. И хотя от вредоносных программ и утечки данных следует защищать абсолютно все ресурсы (опыт показывает, что успешная атака на жизненно важные и серьезно охраняемые системы может быть проведена через незначительную брешь в защите второстепенного ресурса), оценить значимость всех выявленных рисков затруднительно. Это задача владельца информационного ресурса».
«В некоторых организациях требования по обеспечению ИБ не разработаны или неизвестны сотрудникам – механизм доведения информации о конфиденциальности отсутствует. Можно потратить много времени на построение безопасного периметра сети, установку межсетевых экранов и т.п., но если люди не имеют понятия о ценности информации, с которой они работают, все усилия могут оказаться тщетными».
«Серьезная проблема заключается в отсутствии культуры управления ИБ в компании. Несмотря на то что уже несколько лет отраслевые стандарты и передовой опыт доказывают нам, что работы по управлению ИБ должны носить динамический или даже циклический характер, менеджмент продолжает воспринимать их как разовые мероприятия.
Усугубляют проблему и некоторые поставщики решений в области ИБ, позиционируя свой продукт или услугу как решение, которое сразу удовлетворит все потребности предприятия в этом ресурсе.
К сожалению, невозможно в рамках одного проекта внедрить СУИБ и обеспечить необходимый уровень защищенности на долгие годы. Разумнее продумать долгосрочную стратегию, когда СУИБ выстраивается в виде серии проектов по ИБ, а одновременно проводится подготовка сотрудников организации в плане соответствующей информационной культуры.
С перечисленными проблемами связан вопрос срока реализации проекта. Как я уже сказал, оптимальный вариант – это серия проектов. Сначала создается базовая структура СУИБ, потом предприятие привыкает к ней, затем производится уточнение отдельных направлений. Если предприятие действительно заинтересовано в развитии ИБ, то через 2–3 года, реализовав 3–4 проекта длительностью 2–4 месяца, мы можем говорить, что процесс работы СУИБ запущен и функционирует. Участие консультантов потребуется только в виде периодических аудитов ИБ, и это уже будут небольшие 2–3-недельные проекты».