Как всем известно, все задачи,
которые решают специалисты служб (отделов, департаментов...) информационной
безопасности (далее - ИБ) можно условно разделить на 3 группы: стратегические,
тактические и операционные. Решение стратегических задач ведет нас к отдаленным
целям и задает общий вектор развития. Решение тактических задач предполагает
получение определенных выгод и преимуществ в среднесрочной перспективе.
Ну, а операционные задачи просто надо выполнять...
В данном опусе я напомню про такие задачи ИБ-шника, которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").
В данном опусе я напомню про такие задачи ИБ-шника, которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").
Итак, перечень задач и небольшие
комментарии далее.
1. Пересмотр ожиданий заинтересованных лиц.
Задача ИБ - по максимуму удовлетворять
потребности и ожидания заинтересованных сторон, которыми являются:
·
руководство/владельцы компании;
·
руководители бизнес-подразделений;
·
руководство и сотрудники подразделений
ИТ;
·
сотрудники подразделения ИБ;
·
рядовые сотрудники организации;
·
партнеры и поставщики;
·
...
От того насколько успешно мы сможем
помогать людям достигать того, чего они хотят, и удовлетворять их критерии,
напрямую зависит и наша карьера, и зарплата, и скорость и качество совместной
работы, и атмосфера в коллективе.
Будьте готовы, что порой нам придется
совместить (или хотя бы попытаться) противоречивые ожидания (например,
обеспечение безопасности и удобства использования информации; скорость
согласования проектов ИТ и обеспечение определенного уровня безопасности уровня
новых систем, и пр.).
Что получаем в итоге:
·
Актуализированный перечень
заинтересованных сторон и их ожиданий (рабочий документ).
Периодичность: 1-2 раза в год
2. Пересмотр и анализ области
защиты
Сотрудники подразделения ИБ должны четко
понимать, что они защищают, какие есть критичные элементы в общей системе
обработки информации. Это нужно для общего планирования задач ИБ и
определения приоритетов работ. Собранная информация также пригодится если мы
захотим реализовать какой-либо крупный и/или комплексный проект по ИБ, например:
оценить риски ИБ, внедрить и сертифицировать СУИБ по ISO 27001, построить
систему защиты ПДн и т.д.
Что получаем в итоге:
·
Комплект рабочих или официальных
(утвержденных) документов:
o Схема орг.-штатной структуры организации;
o Общая схема и описание сети (кол-во и типы рабочих
станций и серверов, сегменты сети, мобильные устройства, средства защиты, точки
выхода в сеть Интернет и другие сети);
o Перечень и краткое описание основных АС;
o Перечень критичных серверов и рабочих станций;
o Общая физическая схема расположения подразделений
организации;
o Перечень используемых средств защиты и мониторинга;
o Перечень системных администраторов (с указанием их зон
ответственности);
o Перечень лиц, допущенных в серверные помещения.
Периодичность: 2-4 раза в год
3. Анализ внешних нормативных
документов
Сотрудники подразделения ИБ должны знать
требования каких нормативно-правовых документов (например, законов РФ и
постановлений Правительства РФ, нормативных документов регулирующих органов (в
том числе и отраслевых)), документов вышестоящих организаций, а также внешних
контрактов, должны быть выполнены в организации. Необходимо регулярно
актуализировать перечень таких документов.
Что получаем в итоге:
Что получаем в итоге:
·
Перечень внешних нормативных документов
(рабочий документ)
Периодичность: 1-2 раза в год
4. Постановка целей и определение
приоритетов
Необходимо регулярно ставить цели и
приоритеты развития ИБ (я рекомендую выбирать 3-4 главные цели на год и квартал).
Желательно согласовать их со своим руководством. Вроде бы задача простая,
но обычно к ней относятся лишь формально или забывают о своих целях и
приоритетах при росте числа операционных задач. А у Вас определены и
документированы долгосрочные и краткосрочные цели?
Что получаем в итоге:
·
Перечень целей подразделения ИБ (рабочий
документ)
Рекомендуемая периодичность: в зависимости от горизонта планирования
5. Актуализация перечня внутренних
документов, регламентирующих ИТ и ИБ
Сотрудники подразделения ИБ должны
понимать, какие внутренние документы организации определяют требования и
процедуры по ИТ и ИБ, какие документы определяют ответственность, какие есть
шаблоны и пр. Важно не просто вести такой список, но и понимать статус документа
(например, "актуальный", "устарел, требуется пересмотр",
"отменен", "проект", "шаблон" и пр.).
Что получаем в итоге:
·
Перечень внутренних документов по ИТ и
ИБ (рабочий документ)
·
План по доработке/пересмотру внутренних
документов (рабочий/официальный документ)
Периодичность: 1-2 раза в год
6. Проведение внутреннего аудита ИБ
Сотрудники подразделения ИБ
должны не только определять/транслировать требования по защите
информации (например, формально разрабатывая и внедряя политики и процедуры
ИБ), но и проверять, а выполняются ли они. И в случае если они не выполняются,
то либо все же "заставить" выполнять, либо пересмотреть их (например,
некоторые процедуры и требования ИБ работают лишь на бумаге, и сотрудники их
игнорируют, т.к. они бессмысленны и неудобны).
Что получаем в итоге:
·
Отчет по результатам внутреннего аудита
ИБ + Краткий отчет руководству (официальный документ)
·
План по приведению в соответствие
(официальные документы)
Периодичность: 1 раз в год
7. Сбор и анализ показателей ИБ
Желательно определить перечень
показателей (метрики и KPI), которые мы сможем использовать для анализа системы
ИБ и принятия управленческих решений. Важно понимать, что в большинстве случаев
числа ничего не значат до тех пор, пока мы не определим допустимые границы (как
в большую, так и в меньшую сторону).
Желательно использовать одни и те же
показатели на протяжении некоторого периода времени, так мы сможем отследить
динамику изменений. Также рекомендую не выдумывать большого числа показателей,
ориентируйтесь на 2 критерия: сколько времени требуется для получения данного
показателя, как много информации о системе ИБ он дает (1-й старайтесь уменьшать,
2-е увеличивать).
Что получаем в итоге:
·
Отчет по результатам анализа показателей
ИБ + Краткий отчет руководству (официальные документы)
·
План по совершенствованию ИБ
(рабочий/официальный документы)
Периодичность: 1 раз в год
8. Сканирование и анализ уязвимостей
ИТ-инфраструктуры
Проводить анализ уязвимостей
ИТ-инфраструктуры важно для понимания реальной защищенности сети. Если у нас не
хватает ресурсов (денег, времени, персонала, знаний, сканеров уязвимостей) для
проведения таких работ самостоятельно, то рекомендуется приглашать внешних
консультантов.
Что получаем в итоге:
·
Отчет по результатам анализа уязвимостей
(рабочий/официальный документ)
·
План по устранению уязвимостей
(рабочий/официальный документы)
Рекомендуемая периодичность: 1-2 раза в год
9. Обучение и повышение осведомленности
сотрудников организации
В рамках повышения осведомленности и
обучения нам необходимо вести "просветительскую работу", рассказывать
сотрудникам организации об основах ИБ (про угрозы и базовые механизмы защиты),
объяснять требования ИБ, принятые в организации, давать советы, как лучше (с
точки зрения ИБ) поступить в той или иной ситуации. Форматы могут быть любые,
начиная от внутренних тренингов и семинаров, до рассылок электронных писем и
размещения мотивирующих картинок на стенах. Выбирайте сами...
Что получаем в итоге:
·
Материалы (информация) для ознакомления
персонала
·
Журнал учета (при необходимости,
официальный документы)
Периодичность: 2-12 раз в год
10. Обучение и повышение осведомленности
сотрудников подразделения ИБ
Необходимо постоянно развивать свои
навыки, получать новые актуальные знания в вопросах ИБ.
Для этого мы можем:
·
посещать мероприятия по ИБ;
·
посещать мероприятия по смежным областям
(ИТ, управление проектами, обеспечение физической безопасности;
·
учиться на курсах по ИБ и ИТ;
·
смотреть вебинары по ИБ и ИТ;
·
читать книги, статьи по ИБ и ИТ;
·
общаться в профессиональных группах по
ИБ и ИТ;
·
готовиться и сдавать экзамены по ИБ и
ИТ.
Что получаем в итоге:
·
Перечень компетенций сотрудников
подразделения ИБ (рабочий документ)
·
Перечень профессиональных сертификатов
сотрудников подразделения ИБ (рабочий документ)
·
Библиотека знаний (электроных и бумажных
носителей)
·
Журнал учета посещения мероприятий и
обучения по ИБ (при необходимости, рабочий документ)
Периодичность: 2-4 раза в год
Вроде все!
