С чего начинается информационная безопасность?

Каждый руководитель организации в своё время сталкивается с вопросом о защите информации. И возникает закономерный вопрос с чего начать?

И тут нужно выбрать один из вариантов решения:

Вариант №1 – прочитать / перелопатить кучу литературы, сайтов по ИБ

Вариант №2 – обратиться к другу, который возможно разбирается в этом

Вариант №3 – нанять стороннюю организацию для выполнения работ по ИБ

В ходе кропотливого выбора, с учётом нашего менталитета, мы выбираем первые два варианта. И в итоге приходим к тому, что на защищаемый актив наворачивается куча никому не нужного решения. В лучшем случае, если это open source, в худшем – если потрачена огромная сумма денег на лицензии.  После чего, «якобы защищенный» сервис ели кряхтит.

С третьим вариантом ситуация не намного лучше, так как кажется на первый взгляд. Компаний предлагающих данный вид услуг огромное множество, однако понимание самого процесса обеспечение ИБ у большинства из них как такого нет.  И как следствие, эти горе безопасники начинают Вам впраривать готовые платные решения, не разбираясь в сути защищаемого актива.

Рассматривая подобные предложения на рынке, я зачастую сталкивался с не пониманием со стороны заказчика самого процесса ИБ и сроков его реализации.

И так,  что бы Вам стало более детально понятно,  опишу основные этапы построения цикличного процесса ИБ в любой организации или на отдельно взятом сервисе:

step_1

Обращаю внимание, что процесс ИБ который Вы выстраиваете должен быть цикличным и предусматривать проведение итераций по вновь создаваемым, либо изменяемым бизнес – процессам.

Этап №1

  • Создание опросников для выявления и идентификации:
    • бизнес-процессов и их владельцев;
    • активов, задействованных в бизнес-процессах
    • активов, создающихся в результате жизненного цикла бизнес-процессов.
  • Обработка заполненных опросников и прочей доступной информации о бизнес-процессах и активах;
  • Создание на их основе новых опросников, с целью:
    • определения категории активов, на предмет их критичности и влияния на бизнес, в случае нарушения определенных свойств активов;
    • идентификации информационных систем участвующих в обработке, хранении и передаче активов.
  • Обработка данных по активам, сбор дополнительной информации, с целью:
    • идентификации основных ролей в информационных системах;
    • определения возможности удаленного доступа к активам;
    • определения основных протоколов доступа к информационным системам;
    • идентификации основных компонентов информационных систем.
  • Обработка имеющихся данных:
    • согласование с бизнес — подразделением перечня актуальных угроз (семейств угроз);
    • моделирование вероятности наступления актуальных угроз;
    • определение величины ущерба, в случае реализации угроз.
  • Классификация идентифицированных активов и оценка рисков.

Этап №2

  • Формирование модели угроз

Исполняя данный этап, необходимо принимать во внимание все возможные вектора атак на различных уровнях, а так же модели предполагаемого нарушителя.

Этап №3

  • Анализ достаточности существующих мер защиты

На основании сформированной модели угроз — проводится анализ имеющихся информационных систем защиты информации и сил для обеспечения данного процесса.

Этап №4

  • Разработка/актуализация дополнительных организационно — технических мер защиты

На основании сформированной модели угроз, с учётом произведенного анализа существующих средств защиты информации:

  1. Приводятся рекомендации по применению дополнительных организационных мер (разработка/изменение политик, порядков, инструкций, приказов и проч.);
  2. Разрабатываются рекомендации по внедрению изменений в существующие системы защиты;
  3. Разрабатывается и согласуется с бизнес — подразделением модель оценки эффективности и окупаемости внедрения новых средств защиты (ROI, TCO, Payback Period);
  4. Приводятся рекомендации по внедрению новых систем защиты.