21 апреля 2022

Стандартная безопасность: зачем вам ИБ по ISO 27001

Как обеспечить информационную безопасность компании на должном уровне с помощью стандарта ISO 27001: ИБ-стратегия, горизонт планирования и оценка эффективности.

Согласно стандарту 
 
Для приведения ИБ-составляющей бизнеса к надлежащему уровню эффективности существуют специальные стандарты. Они позволяют разрабатывать, внедрять и контролировать работу систем управления информационной безопасностью в компаниях любого размера и профиля. 
 
Общепринятым международным стандартом по ИБ является ISO 27001. Он носит всеобъемлющий характер и охватывает процессы защиты любых ИТ-систем.
 
Стандарт фокусируется на менеджменте и организации работы по ИБ, в нем описаны базовые процессы и виды контроля, принимаемые на основании оценки рисков. Компании исходя из своих потребностей сами выбирают, какие виды контроля и какая техническая реализация ИБ-решения им подходят.
 
Идеология стандарта – движение от процесса к технологии. Чем выше конкретный ИБ-риск, тем больше технических и кадровых ресурсов нужно выделять на его смягчение.
 
Выгоды сертификации и с чего начать 
 
Соответствие требованиям стандарта помогает выявлять и устранять пробелы и уязвимости в системе безопасности, исключать дорогостоящие ИБ-инциденты, а также ненужные трудовые и финансовые затраты. Сертификация в силу своего независимого характера укрепляет репутацию компании в глазах клиентов, партнеров и других заинтересованных сторон.
 
Работа по адаптации стандарта начинается с подробной оценки рисков системы управления ИБ. Далее следует сопоставить текущую стратегию контроля ИБ с принципами ISO 27001. Цель анализа – выявление слабых мест в каждой системе и соотнесение их с уровнем ее критичности для бизнеса. После этого важно выбрать меры безопасности, которые помогут смягчить угрозы. Все риски, средства контроля и методы смягчения должны быть четко определены в политике безопасности. 
 
После определения областей применения и выбора средств контроля следует установить четкие ориентиры и ожидаемые показатели результативности и эффективности. Они помогают компании сохранять фокус на достижении конечных целей.
 
ISO на практике: цикл PDCA
 
Как показывает практика, в ходе разработки ИБ-решений постоянно возникает множество проблем – корректировка бюджета, колебания курса валюты для покупки ПО и оборудования, изменение структуры кадров, которые участвуют в реализации ИБ-стратегии. 
 
Любые такие изменения затрудняют планирование ИБ-деятельности на долгий срок. Чтобы избежать обесценивания проделанной работы и зафиксировать осязаемый результат на запланированных горизонтах времени, применяют ISO 27001. 
 
Стандарт раскрывает систему менеджмента в ИБ с точки зрения управления без погружения в технические детали. Для этого в стандарте предусматривается реализация цикла PDCA (Plan, Do, Check, Act), т.е. этапы планирования, действия, проверки и реагирования. 
 
Ключевой элемент – стадия планирования и оценки рисков, от ее качественного выполнения зависит 50% успеха. Любая ИБ-стратегия состоит из разовых и регулярных задач. На первом этапе требуется четко определить перечень разовых (проектных) задач, а также составить список регулярных, которые продиктованы требованиями контролирующих органов и потребностями повседневной деятельности компании.
 
На втором этапе (Do) осуществляется управление работой системы согласно принятой классификации задач. На третьем (Check) – происходит проверка и мониторинг работы, в ходе четвертого этапа (Act) оценивается эффективность комплекса проведенных мероприятий. 
 
Результаты последней стадии позволяют проводить апгрейд существующей ИБ-системы и запускать процедуру ее совершенствования по тем же основным этапам, выводя эффективность на новый уровень. 
 
Дробление задач
 
Ранее мероприятия по обеспечению ИБ было принято планировать с горизонтом в один год, но сегодня, когда новые угрозы появляются столь стремительно, это нецелесообразно. Чтобы гибко сочетать выполнение плановых мероприятий по ИБ с обработкой потока возникающих задач, необходимо дробить глобальные планы-графики на локальные. Все разовые и регулярные мероприятия из годового плана переносятся в квартальный, туда же добавляются все незапланированные активности.
 
Мелкие задачи оперативного характера – взаимодействие с поставщиками, получение счетов, согласование договоров и т.д. – в такой план включать нецелесообразно. Их надо учитывать в любом удобном планировщике в формате канбан-доски – с горизонтом в неделю и с ранжированием по важности.
 
Таким образом можно вовремя выполнять запланированные базовые ИБ-активности, не упуская ничего критически важного, и отрабатывать текущую повестку без переутверждения квартальных или годовых планов. Подобное распараллеливание задач повышает общее качество работы ИБ-решения. Даже если не хватит времени на выполнение всех запланированных задач, наиболее важные будут выполнены.
 
Оценка эффективности
 
Самое сложное – определить объективные показатели эффективности принимаемых мер обеспечения ИБ. Например, раньше часто ориентировались на долю выполненных ИБ-задач в общем их количестве, т.е. на реализацию планов по отработке рисков. Также ИБ-эффективность оценивали по оснащенности компании средствами защиты. 
 
Другой критерий – оценка затрат на ИБ. Это учет потраченных на безопасность средств, времени и кадров и определение экономического эффекта мероприятий. В последнее время было принято оценивать эффективность по количеству нейтрализованных инцидентов. 
 
Однако все эти подходы не слишком показательны, потому что всегда есть вероятность невыявленного инцидента. Бывает и так, что произошедший инцидент (несанкционированное копирование данных или подключение с целью просмотра данных и т.д.) не нанес серьезного ущерба в моменте, когда масштабы вреда еще не проявились полностью. 
 
Более показательна оценка эффективности ИБ-политик по соотношению реального ущерба от выявленных инцидентов и потенциального, который понесла бы компания, если бы ИБ-решение не сработало. 
 
Постоянное совершенствование
 
Информационная безопасность – не пункт назначения, а бесконечный процесс движения к идеалу. ISO 27001 в этом плане можно назвать маршрутным листом путешествия. Он обеспечивает не только защиту данных, но и оптимизацию всех связанных с ИБ процессов. 
 
Стандарт развивается – недавно вышел ряд его обновлений. Также он всегда был открыт для применения к ИБ всех современных методик планирования и контроля исполнения, таких как Agile Security Action Plan и лучшие практики Scrum.
 
Комплексный подход к методикам управления ИБ, а также короткие горизонты планирования дадут лучший результат и позволят не растягивать на год выполнение поставленных задач. Сегодня за это время они почти гарантированно успеют устареть.
 
Автор: Георгий Беляков, инженер по ИБ и облачным решениям, Linxdatacenter
Источник: Иксмедиа

Исследование iTrend: зарплата для ИТ-специалистов — не решающий фактор при выборе работодателя

23 апреля 2024

Эксперты коммуникационного агентства iTrend провели исследование, в рамках которого проанализировали критерии выбора работы, а также медиапредпочтения более 300 высокоуровневых специалистов из крупных российских ИТ-компаний.

 

Команда iTrend начала работу с Институтом iSpring

19 апреля 2024

Институт iSpring — частный ИТ-вуз нового поколения. Он был основан в 2021 году в Йошкар-Оле российским предпринимателем и основателем международной ИТ-компании iSpring Юрием Усковым.

 

Вебинар РУССОФТ, iTrend и BiToBe: «Работодатель-as-a-Service: новая реальность привлечения ИТ-специалистов»

15 апреля 2024

23 апреля в 15:00 прошел открытый вебинар «Работодатель-as-a-Service: Новая реальность привлечения ИТ-специалистов»

 

iTrend: освоить маркировку интернет-рекламы можно только на собственном опыте

25 марта 2024

В феврале 2024 года в Москве прошла Конференция «Digital-коммуникации России». Организатор мероприятия – Ассоциация директоров по коммуникациям и корпоративным медиа России (АКМР). Эксперты конференции обсудили острые вопросы рынка digital, в том числе маркировку интернет-рекламы. Об опыте коммуникационного агентства в рамках перехода на работу по новым правилам рассказала Екатерина Саранцева, директор по развитию iTrend.

 

Медиалогия: iTrend – в ТОП-4 коммуникационных агентств по медиаиндексу за январь 2024 года

20 марта 2024

Коммуникационное агентство iTrend вошло в пятерку агентств, получивших наиболее высокий медиаиндекс по данным рейтинга «Медиалогии» за январь 2024 года. Компания заняла четвёртую строчку ранкинга, набрав 433,2 пункта МИ. Медиаактивность участников рынка оценивалась на основе анализа базы российских СМИ, включающей в себя более 88 тыс. источников — ТВ, радио, газеты, журналы, информационные агентства и Интернет-СМИ.

 
Все новости iTrend