С чего начинается информационная безопасность?

Каждый руководитель организации в своё время сталкивается с вопросом о защите информации. И возникает закономерный вопрос с чего начать?

И тут нужно выбрать один из вариантов решения:

Вариант №1 – прочитать / перелопатить кучу литературы, сайтов по ИБ

Вариант №2 – обратиться к другу, который возможно разбирается в этом

Вариант №3 – нанять стороннюю организацию для выполнения работ по ИБ

В ходе кропотливого выбора, с учётом нашего менталитета, мы выбираем первые два варианта. И в итоге приходим к тому, что на защищаемый актив наворачивается куча никому не нужного решения. В лучшем случае, если это open source, в худшем – если потрачена огромная сумма денег на лицензии.  После чего, «якобы защищенный» сервис ели кряхтит.

С третьим вариантом ситуация не намного лучше, так как кажется на первый взгляд. Компаний предлагающих данный вид услуг огромное множество, однако понимание самого процесса обеспечение ИБ у большинства из них как такого нет.  И как следствие, эти горе безопасники начинают Вам впраривать готовые платные решения, не разбираясь в сути защищаемого актива.

Рассматривая подобные предложения на рынке, я зачастую сталкивался с не пониманием со стороны заказчика самого процесса ИБ и сроков его реализации.

И так,  что бы Вам стало более детально понятно,  опишу основные этапы построения цикличного процесса ИБ в любой организации или на отдельно взятом сервисе:

Обращаю внимание, что процесс ИБ который Вы выстраиваете должен быть цикличным и предусматривать проведение итераций по вновь создаваемым, либо изменяемым бизнес – процессам.

Этап №1

• Создание опросников для выявления и идентификации:
  • бизнес-процессов и их владельцев;
  • активов, задействованных в бизнес-процессах
  • активов, создающихся в результате жизненного цикла бизнес-процессов.
• Обработка заполненных опросников и прочей доступной информации о бизнес-процессах и активах;
• Создание на их основе новых опросников, с целью:
  • определения категории активов, на предмет их критичности и влияния на бизнес, в случае нарушения определенных свойств активов;
  • идентификации информационных систем участвующих в обработке, хранении и передаче активов.
• Обработка данных по активам, сбор дополнительной информации, с целью:
  • идентификации основных ролей в информационных системах;
  • определения возможности удаленного доступа к активам;
  • определения основных протоколов доступа к информационным системам;
  • идентификации основных компонентов информационных систем.
• Обработка имеющихся данных:
  • согласование с бизнес — подразделением перечня актуальных угроз (семейств угроз);
  • моделирование вероятности наступления актуальных угроз;
  • определение величины ущерба, в случае реализации угроз.
• Классификация идентифицированных активов и оценка рисков.

Этап №2

• Формирование модели угроз

Исполняя данный этап, необходимо принимать во внимание все возможные вектора атак на различных уровнях, а так же модели предполагаемого нарушителя.

Этап №3

• Анализ достаточности существующих мер защиты

На основании сформированной модели угроз — проводится анализ имеющихся информационных систем защиты информации и сил для обеспечения данного процесса.

Этап №4

• Разработка/актуализация дополнительных организационно — технических мер защиты

На основании сформированной модели угроз, с учётом произведенного анализа существующих средств защиты информации:

1. Приводятся рекомендации по применению дополнительных организационных мер (разработка/изменение политик, порядков, инструкций, приказов и проч.);
2. Разрабатываются рекомендации по внедрению изменений в существующие системы защиты;
3. Разрабатывается и согласуется с бизнес — подразделением модель оценки эффективности и окупаемости внедрения новых средств защиты (ROI, TCO, Payback Period);
4. Приводятся рекомендации по внедрению новых систем защиты.