Для приведения ИБ-составляющей бизнеса к надлежащему уровню эффективности существуют специальные стандарты. Они позволяют разрабатывать, внедрять и контролировать работу систем управления информационной безопасностью в компаниях любого размера и профиля. 

 

Общепринятым международным стандартом по ИБ является ISO 27001. Он носит всеобъемлющий характер и охватывает процессы защиты любых ИТ-систем.

 

Стандарт фокусируется на менеджменте и организации работы по ИБ, в нем описаны базовые процессы и виды контроля, принимаемые на основании оценки рисков. Компании исходя из своих потребностей сами выбирают, какие виды контроля и какая техническая реализация ИБ-решения им подходят.

 

Идеология стандарта – движение от процесса к технологии. Чем выше конкретный ИБ-риск, тем больше технических и кадровых ресурсов нужно выделять на его смягчение.

 

 

Соответствие требованиям стандарта помогает выявлять и устранять пробелы и уязвимости в системе безопасности, исключать дорогостоящие ИБ-инциденты, а также ненужные трудовые и финансовые затраты. Сертификация в силу своего независимого характера укрепляет репутацию компании в глазах клиентов, партнеров и других заинтересованных сторон.

 

Работа по адаптации стандарта начинается с подробной оценки рисков системы управления ИБ. Далее следует сопоставить текущую стратегию контроля ИБ с принципами ISO 27001. Цель анализа – выявление слабых мест в каждой системе и соотнесение их с уровнем ее критичности для бизнеса. После этого важно выбрать меры безопасности, которые помогут смягчить угрозы. Все риски, средства контроля и методы смягчения должны быть четко определены в политике безопасности. 

 

После определения областей применения и выбора средств контроля следует установить четкие ориентиры и ожидаемые показатели результативности и эффективности. Они помогают компании сохранять фокус на достижении конечных целей.

 

 

Как показывает практика, в ходе разработки ИБ-решений постоянно возникает множество проблем – корректировка бюджета, колебания курса валюты для покупки ПО и оборудования, изменение структуры кадров, которые участвуют в реализации ИБ-стратегии. 

 

Любые такие изменения затрудняют планирование ИБ-деятельности на долгий срок. Чтобы избежать обесценивания проделанной работы и зафиксировать осязаемый результат на запланированных горизонтах времени, применяют ISO 27001. 

 

Стандарт раскрывает систему менеджмента в ИБ с точки зрения управления без погружения в технические детали. Для этого в стандарте предусматривается реализация цикла PDCA (Plan, Do, Check, Act), т.е. этапы планирования, действия, проверки и реагирования. 

 

Ключевой элемент – стадия планирования и оценки рисков, от ее качественного выполнения зависит 50% успеха. Любая ИБ-стратегия состоит из разовых и регулярных задач. На первом этапе требуется четко определить перечень разовых (проектных) задач, а также составить список регулярных, которые продиктованы требованиями контролирующих органов и потребностями повседневной деятельности компании.

 

На втором этапе (Do) осуществляется управление работой системы согласно принятой классификации задач. На третьем (Check) – происходит проверка и мониторинг работы, в ходе четвертого этапа (Act) оценивается эффективность комплекса проведенных мероприятий. 

 

Результаты последней стадии позволяют проводить апгрейд существующей ИБ-системы и запускать процедуру ее совершенствования по тем же основным этапам, выводя эффективность на новый уровень. 

 

 

Ранее мероприятия по обеспечению ИБ было принято планировать с горизонтом в один год, но сегодня, когда новые угрозы появляются столь стремительно, это нецелесообразно. Чтобы гибко сочетать выполнение плановых мероприятий по ИБ с обработкой потока возникающих задач, необходимо дробить глобальные планы-графики на локальные. Все разовые и регулярные мероприятия из годового плана переносятся в квартальный, туда же добавляются все незапланированные активности.

 

Мелкие задачи оперативного характера – взаимодействие с поставщиками, получение счетов, согласование договоров и т.д. – в такой план включать нецелесообразно. Их надо учитывать в любом удобном планировщике в формате канбан-доски – с горизонтом в неделю и с ранжированием по важности.

 

Таким образом можно вовремя выполнять запланированные базовые ИБ-активности, не упуская ничего критически важного, и отрабатывать текущую повестку без переутверждения квартальных или годовых планов. Подобное распараллеливание задач повышает общее качество работы ИБ-решения. Даже если не хватит времени на выполнение всех запланированных задач, наиболее важные будут выполнены.

 

 

Самое сложное – определить объективные показатели эффективности принимаемых мер обеспечения ИБ. Например, раньше часто ориентировались на долю выполненных ИБ-задач в общем их количестве, т.е. на реализацию планов по отработке рисков. Также ИБ-эффективность оценивали по оснащенности компании средствами защиты. 

 

Другой критерий – оценка затрат на ИБ. Это учет потраченных на безопасность средств, времени и кадров и определение экономического эффекта мероприятий. В последнее время было принято оценивать эффективность по количеству нейтрализованных инцидентов. 

 

Однако все эти подходы не слишком показательны, потому что всегда есть вероятность невыявленного инцидента. Бывает и так, что произошедший инцидент (несанкционированное копирование данных или подключение с целью просмотра данных и т.д.) не нанес серьезного ущерба в моменте, когда масштабы вреда еще не проявились полностью. 

 

Более показательна оценка эффективности ИБ-политик по соотношению реального ущерба от выявленных инцидентов и потенциального, который понесла бы компания, если бы ИБ-решение не сработало. 

 

 

Информационная безопасность – не пункт назначения, а бесконечный процесс движения к идеалу. ISO 27001 в этом плане можно назвать маршрутным листом путешествия. Он обеспечивает не только защиту данных, но и оптимизацию всех связанных с ИБ процессов. 

 

Стандарт развивается – недавно вышел ряд его обновлений. Также он всегда был открыт для применения к ИБ всех современных методик планирования и контроля исполнения, таких как Agile Security Action Plan и лучшие практики Scrum.

 

Комплексный подход к методикам управления ИБ, а также короткие горизонты планирования дадут лучший результат и позволят не растягивать на год выполнение поставленных задач. Сегодня за это время они почти гарантированно успеют устареть.

 

Автор: Георгий Беляков, инженер по ИБ и облачным решениям, Linxdatacenter
Источник: Иксмедиа