Модель зрелости управления ИБ
В марте 2009 г. консорциум ISM3 разработал версию 2.3 модели зрелости управления информационной безопасностью (Information Security Management Maturity Model).
Данная модель фокусируется на процессах управления информационной безопасностью, так или иначе присущих большинству организаций, в отличие от других подобных стандартов, фокус которых направлен на функции контроля в данных процессах.
Модель описывает основные процессы управления информационной безопасности, включая задачи процессов И Б и метрики, которые вытекают непосредственно из бизнес-целей организации. Таким образом, данная модель является инструментом, позволяющим связать цели бизнеса с непосредственными задачами ИБ, создать политики ИБ, отвечающие бизнес-целям организации и осуществлять постоянный мониторинг их исполнения.
При этом модель является совместимой со всеми основными стандартами и методологиями, так или иначе связанными с ИБ — ISO 27001/27002, COBIT, ITIL и т.д.
Информационная безопасность как бизнес-процесс
В целом модель направлена на решение следующих задач:
- построение системы управления ИБ, полностью соответствующей бизнес-целям организации и применимому законодательству;
- применимость к любой организации вне зависимости от размеров, отрасли, сложности бизнес-процессов и имеющихся ресурсов;
- приоритизацию и оптимизацию инвестиций в ИБ;
- постоянное совершенствование системы управления ИБ с использованием соответствующих метрик;
- поддержку процессов аутсорсинга ИБ.
Текущая модель не является всеобъемлющей, о чем свидетельствуют ее постоянные доработки, однако идеи, заложенные в модели, являются воплощением новейших веяний в сфере ИБ и, вероятнее всего, будут активно обсуждаться, применяться, внедряться и совершенствоваться в самое ближайшее время.
Непрерывность бизнеса: перекосы
Другой насущной проблемой для организаций в настоящее время является обеспечение непрерывности бизнеса. Так как вовлечение организаций в электронный бизнес все больше возрастает, а в некоторых отраслях, например в банковской и телекоммуникационной, ведение бизнеса без использования ИТ вообще не представляется возможным, потери даже от незначительных простоев могут быть катастрофическими.
В целом задача обеспечения непрерывности бизнеса — комплексная, которая должна инициироваться непосредственно самим бизнесом и включать в себя многие составляющие, зачастую не имеющие отношения к ИТ и ИБ. Однако многие вопросы, рассматриваемые в рамках данной дисциплины, являются прямой обязанностью службы ИБ, в частности:
- классификация данных и информационных систем;
- определение требований к процессам резервного копирования и восстановления данных;
- управление доступностью систем;
- управление инцидентами. При этом важно отметить, что внедрение технических мер не способно закрыть все вопросы, связанные с непрерывностью бизнеса и восстановлением после сбоев. Необходима тщательная проработка организационных мер, связанных с действиями в кризисных ситуациях, формированием команд восстановления, введением альтернативных процедур функционирования бизнес-процессов, внутренними и внешними коммуникациями и т.д.
Весь процесс планирования непрерывности бизнеса должен быть основан на анализе рисков, учитывать требования бизнеса к восстановлению тех или иных систем и данных.
Специалист по информационной безопасности — кто это и как им стать | GeekBrains
Как показывает практика, в настоящее время зачастую весь процесс отдается на откуп службе ИТ или И Б, которая может не иметь полномочий для того, чтобы влиять на бизнес в вопросах обеспечения непрерывности, в результате чего может происходить перекос в сторону технических решений, т.е. возникать ситуация, когда ИТ-инфраструктура компании готова к сбоям и прерываниям, а сам бизнес не готов.
Может возникать и обратный перекос, когда в компании сформулированы бизнес-требования к процессу, разработаны планы обеспечения непрерывности функционирования и восстановления бизнес-подразделений, определены требования ко времени восстановления требуемых ИТ-ресур-сов, однако хромает техническая реализация из-за слабой связи между бизнесом и ИТ.
Данные вопросы также рассмотрены в ISM3, причем в качестве методологической основы для планирования непрерывности бизнеса указан британский стандарт BS 25999 и его предшественник — PAS 56.
Адекватная оценка
Преимущества, которые получают организации при сертификации по стандарту BS 25999 или любому другому, не стоит переоценивать. Безусловно, есть некоторый репутационный, а также косвенный финансовый эффект, тем не менее основная польза, которую приносят существующие международные стандарты и методологии, лежит несколько в иной плоскости. И заключается эта польза не столько в том, чтобы показать сертификат партнерам, инвесторам и другим заинтересованным сторонам, сколько в том, чтобы построить эффективную инфраструктуру для поддержки бизнес-процессов, которая была бы направлена на минимизацию количества сбоев, ошибок и злонамеренных действий и при этом являлась бы подконтрольной. В качестве же ориентира или путевой карты при построении такой инфраструктуры и имеет смысл использовать, например, различные стандарты, методологии и модели, приведенные в данной статье.
«Сухой остаток»
Подытоживая вышесказанное, хотелось бы подчеркнуть следующие основные идеи:
- Информационная безопасность, хотя и является вспомогательным процессом, но при этом представляет собой важную составляющую надежности операционной деятельности компаний.
- Как и другими процессами, информационной безопасностью необходимо управлять. При построении системы управления желательно опираться на опыт, изложенный в общепринятых моделях, методологиях и стандартах.
- Стремление к соответствию международным стандартам в области информационной безопасности в первую очередь должно быть нацелено на улучшение внутренних процессов компании.
Источник: www.cprspb.ru
Архивы безопасности
.jpg)
Начнем с того, что информационная безопасность (ИБ) — не бизнес-процесс, и вообще не процесс. Согласно Доктрине информационной безопасности РФ, ИБ — «состояние защищенности сбалансированных интересов личности, общества и государства в информационной сфере». Но это если говорить о государстве (стране), если же мы рассматриваем ИБ предприятия, то логично предположить, что информационная безопасность — состояние защищенности интересов предприятия. Что это за интересы?
Интересы предприятия
Любая коммерческая организация основной целью своей деятельности ставит получение прибыли. Для достижения этой цели в организации осуществляется ряд бизнес-процессов. Часть из них направлена на непосредственное получение прибыли (операционные бизнес-процессы), остальные — на повышение эффективности операционных процессов или предотвращение убытков (управленческие и вспомогательные бизнес-процессы).
Тогда информационную безопасность можно трактовать, как состояние защищенности от прерываний этих самых процессов в следствии инцидентов информационной безопасности. Таким образом, хоть мы и говорим об информационной безопасности, но требуется обеспечивать безопасность не информации, а бизнес-процессов.
А как же безопасность информации?
.jpg)
Тут мне могут возразить, что существует информация, которую требуется защищать. Вспомнят о коммерческой, государственной и других видах тайн. Но информацию мы защищаем постольку, поскольку того требуют определенные бизнес-процессы, даже если этот процесс «выполнение законодательных и договорных требований», т.к. убытки для организации принесет именно нарушение этого процесса, а не сама утечка информации. Что касается закрытой информации о «ноу-хау» в организации, то в случае утечки будет нарушен процесс «монопольное владение информацией».
.jpg)
Именно в силу таких размышлений информацию, имхо, стоит относить ко вторичным активам, а к первичным — бизнес-процессы организации. Помимо информации ко вторичным активам также (с этим со мной уже согласятся, наверное, все) сотрудники предприятия, материально-техническое оснащение. в общем все то, что обеспечивает первичные активы.
Более того, злоумышленник (или другое деструктивное воздействие) не может влиять на первичные активы на прямую. Воздействие происходит через вторичные активы и их защищенность и приведет к информационной безопасности организации.
Безопасность и защита
Стоит отметить, что безопасность информации обеспечивается не только посредством внедрения средств защиты — это лишь одна из вариантов обеспечения безопасности. Другие варианты — воздействие на источник угроз, избегание угрозы (перенос бизнеса в среду, где данные угрозы отсутствуют) или страхование активов.
Источник: aguryanov.blogspot.com
Как перезагрузить ИБ с помощью процессного моделирования
Вы наверняка задавались вопросом: «Что за бардак творится в моей компании?». Вроде бы все работают в одном месте, но у вас куча проблем из-за неправильных коммуникаций и взаимодействий с подразделениями. И решение просто: нужно всего лишь договориться, найти общий язык со всеми участниками рабочих процессов. Сделать это можно с помощью процессного моделирования.
Мы не раз помогали клиентам перейти на этот подход, и он всегда улучшал управляемость ИБ-процессов. Поэтому мы подготовили краткую методичку о том, как правильно их «перезагрузить».
- Введение
- Что даёт процессное моделирование
- Когда использовать процессное моделирование
- Шесть шагов процессного моделирования
- 4.1. Шаг № 1. Определяем нотацию и инструментарий автоматизации
- 4.2. Шаг № 2. Закладываем основы процессного подхода к управлению
- 4.3. Шаг № 3. Определяем правила моделирования
- 4.4. Шаг № 4. Рисуем целевое состояние процессов
- 4.5. Шаг № 5. Детализируем процессы в документации
- 4.6. Шаг № 6. Определяем области контроля и измеряем