Каждый руководитель организации в своё время сталкивается с вопросом о защите информации. И возникает закономерный вопрос с чего начать?
И тут нужно выбрать один из вариантов решения:
Вариант №1 – прочитать / перелопатить кучу литературы, сайтов по ИБ
Вариант №2 – обратиться к другу, который возможно разбирается в этом
Вариант №3 – нанять стороннюю организацию для выполнения работ по ИБ
В ходе кропотливого выбора, с учётом нашего менталитета, мы выбираем первые два варианта. И в итоге приходим к тому, что на защищаемый актив наворачивается куча никому не нужного решения. В лучшем случае, если это open source, в худшем – если потрачена огромная сумма денег на лицензии. После чего, «якобы защищенный» сервис ели кряхтит.
С третьим вариантом ситуация не намного лучше, так как кажется на первый взгляд. Компаний предлагающих данный вид услуг огромное множество, однако понимание самого процесса обеспечение ИБ у большинства из них как такого нет. И как следствие, эти горе безопасники начинают Вам впраривать готовые платные решения, не разбираясь в сути защищаемого актива.
Рассматривая подобные предложения на рынке, я зачастую сталкивался с не пониманием со стороны заказчика самого процесса ИБ и сроков его реализации.
И так, что бы Вам стало более детально понятно, опишу основные этапы построения цикличного процесса ИБ в любой организации или на отдельно взятом сервисе:
Обращаю внимание, что процесс ИБ который Вы выстраиваете должен быть цикличным и предусматривать проведение итераций по вновь создаваемым, либо изменяемым бизнес – процессам.
Этап №1
- Создание опросников для выявления и идентификации:
- бизнес-процессов и их владельцев;
- активов, задействованных в бизнес-процессах
- активов, создающихся в результате жизненного цикла бизнес-процессов.
- Обработка заполненных опросников и прочей доступной информации о бизнес-процессах и активах;
- Создание на их основе новых опросников, с целью:
- определения категории активов, на предмет их критичности и влияния на бизнес, в случае нарушения определенных свойств активов;
- идентификации информационных систем участвующих в обработке, хранении и передаче активов.
- Обработка данных по активам, сбор дополнительной информации, с целью:
- идентификации основных ролей в информационных системах;
- определения возможности удаленного доступа к активам;
- определения основных протоколов доступа к информационным системам;
- идентификации основных компонентов информационных систем.
- Обработка имеющихся данных:
- согласование с бизнес — подразделением перечня актуальных угроз (семейств угроз);
- моделирование вероятности наступления актуальных угроз;
- определение величины ущерба, в случае реализации угроз.
- Классификация идентифицированных активов и оценка рисков.
Этап №2
- Формирование модели угроз
Исполняя данный этап, необходимо принимать во внимание все возможные вектора атак на различных уровнях, а так же модели предполагаемого нарушителя.
Этап №3
- Анализ достаточности существующих мер защиты
На основании сформированной модели угроз — проводится анализ имеющихся информационных систем защиты информации и сил для обеспечения данного процесса.
Этап №4
- Разработка/актуализация дополнительных организационно — технических мер защиты
На основании сформированной модели угроз, с учётом произведенного анализа существующих средств защиты информации:
- Приводятся рекомендации по применению дополнительных организационных мер (разработка/изменение политик, порядков, инструкций, приказов и проч.);
- Разрабатываются рекомендации по внедрению изменений в существующие системы защиты;
- Разрабатывается и согласуется с бизнес — подразделением модель оценки эффективности и окупаемости внедрения новых средств защиты (ROI, TCO, Payback Period);
- Приводятся рекомендации по внедрению новых систем защиты.