18 октября 2013 г.

Регулярные задачи сотрудника инфомационной безопасности, которые постоянно откладываются или не делаются

vlsdtv | 16:15 |
Как всем известно, все задачи, которые решают специалисты служб (отделов, департаментов...) информационной безопасности (далее - ИБ) можно условно разделить на 3 группы: стратегические, тактические и операционные. Решение стратегических задач ведет нас к отдаленным целям и задает общий вектор развития. Решение тактических задач предполагает получение определенных выгод и преимуществ в среднесрочной перспективе. Ну, а операционные задачи просто надо выполнять...
В данном опусе я напомню про такие задачи ИБ-шника, которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").

Итак, перечень задач и небольшие комментарии далее.

1.  Пересмотр ожиданий заинтересованных лиц.
Задача ИБ - по максимуму удовлетворять потребности и ожидания заинтересованных сторон, которыми являются:
·         руководство/владельцы компании;
·         руководители бизнес-подразделений;
·         руководство и сотрудники подразделений ИТ;
·         сотрудники подразделения ИБ;
·         рядовые сотрудники организации;
·         партнеры и поставщики;
·         ...
От того насколько успешно мы сможем помогать людям достигать того, чего они хотят, и удовлетворять их критерии, напрямую зависит и наша карьера, и зарплата, и скорость и качество совместной работы, и атмосфера в коллективе.
Будьте готовы, что порой нам придется совместить (или хотя бы попытаться) противоречивые ожидания (например, обеспечение безопасности и удобства использования информации; скорость согласования проектов ИТ и обеспечение определенного уровня безопасности уровня новых систем, и пр.).
Что получаем в итоге
·         Актуализированный перечень заинтересованных сторон и их ожиданий (рабочий документ).
Периодичность 1-2 раза в год

2. Пересмотр и анализ области защиты
Сотрудники подразделения ИБ должны четко понимать, что они защищают, какие есть критичные элементы в общей системе обработки информации. Это нужно для общего планирования задач ИБ и определения приоритетов работ. Собранная информация также пригодится если мы захотим реализовать какой-либо крупный и/или комплексный проект по ИБ, например: оценить риски ИБ, внедрить и сертифицировать СУИБ по ISO 27001, построить систему защиты ПДн и т.д.

Что получаем в итоге
·         Комплект рабочих или официальных (утвержденных) документов:
o    Схема орг.-штатной структуры организации;
o    Общая схема и описание сети (кол-во и типы рабочих станций и серверов, сегменты сети, мобильные устройства, средства защиты, точки выхода в сеть Интернет и другие сети);
o    Перечень и краткое описание основных АС;
o    Перечень критичных серверов и рабочих станций;
o    Общая физическая схема расположения подразделений организации;
o    Перечень используемых средств защиты и мониторинга;
o    Перечень системных администраторов (с указанием их зон ответственности);
o    Перечень лиц, допущенных в серверные помещения.
Периодичность: 2-4 раза в год

3. Анализ внешних нормативных документов 
Сотрудники подразделения ИБ должны знать требования каких нормативно-правовых документов (например, законов РФ и постановлений Правительства РФ, нормативных документов регулирующих органов (в том числе и отраслевых)), документов вышестоящих организаций, а также внешних контрактов, должны быть выполнены в организации. Необходимо регулярно актуализировать перечень таких документов.

Что получаем в итоге
·         Перечень внешних нормативных документов (рабочий документ)
Периодичность 1-2 раза в год

4. Постановка целей и определение приоритетов
Необходимо регулярно ставить цели и приоритеты развития ИБ (я рекомендую выбирать 3-4 главные цели на год и квартал). Желательно согласовать их со своим руководством. Вроде бы задача простая, но обычно к ней относятся лишь формально или забывают о своих целях и приоритетах при росте числа операционных задач. А у Вас определены и документированы долгосрочные и краткосрочные цели?

Что получаем в итоге
·         Перечень целей подразделения ИБ (рабочий документ)
Рекомендуемая периодичность: в зависимости от горизонта планирования

5. Актуализация перечня внутренних документов, регламентирующих ИТ и ИБ
Сотрудники подразделения ИБ должны понимать, какие внутренние документы организации определяют требования и процедуры по ИТ и ИБ, какие документы определяют ответственность, какие есть шаблоны и пр. Важно не просто вести такой список, но и понимать статус документа (например, "актуальный", "устарел, требуется пересмотр", "отменен", "проект", "шаблон" и пр.). 

Что получаем в итоге
·         Перечень внутренних документов по ИТ и ИБ (рабочий документ)
·         План по доработке/пересмотру внутренних документов  (рабочий/официальный документ)
Периодичность: 1-2 раза в год

6. Проведение внутреннего аудита ИБ
Сотрудники подразделения ИБ должны не только определять/транслировать требования по защите информации (например, формально разрабатывая и внедряя политики и процедуры ИБ), но и проверять, а выполняются ли они. И в случае если они не выполняются, то либо все же "заставить" выполнять, либо пересмотреть их (например, некоторые процедуры и требования ИБ работают лишь на бумаге, и сотрудники их игнорируют, т.к. они бессмысленны и неудобны).

Что получаем в итоге
·         Отчет по результатам внутреннего аудита ИБ +  Краткий отчет руководству (официальный документ)
·         План по приведению в соответствие (официальные документы)
Периодичность: 1 раз в год

7. Сбор и анализ показателей ИБ
Желательно определить перечень показателей (метрики и KPI), которые мы сможем использовать для анализа системы ИБ и принятия управленческих решений. Важно понимать, что в большинстве случаев числа ничего не значат до тех пор, пока мы не определим допустимые границы (как в большую, так и в меньшую сторону).
Желательно использовать одни и те же показатели на протяжении некоторого периода времени, так мы сможем отследить динамику изменений. Также рекомендую не выдумывать большого числа показателей, ориентируйтесь на 2 критерия: сколько времени требуется для получения данного показателя, как много информации о системе ИБ он дает (1-й старайтесь уменьшать, 2-е увеличивать).
Что получаем в итоге
·         Отчет по результатам анализа показателей  ИБ +  Краткий отчет руководству (официальные документы)
·         План по совершенствованию ИБ  (рабочий/официальный документы)
Периодичность: 1 раз в год

8. Сканирование и анализ уязвимостей ИТ-инфраструктуры
Проводить анализ уязвимостей ИТ-инфраструктуры важно для понимания реальной защищенности сети. Если у нас не хватает ресурсов (денег, времени, персонала, знаний, сканеров уязвимостей) для проведения таких работ самостоятельно, то рекомендуется приглашать внешних консультантов.  
Что получаем в итоге
·         Отчет по результатам анализа уязвимостей (рабочий/официальный документ)
·         План по устранению уязвимостей  (рабочий/официальный документы)
Рекомендуемая периодичность: 1-2 раза в год

9. Обучение и повышение осведомленности сотрудников организации
В рамках повышения осведомленности и обучения нам необходимо вести "просветительскую работу", рассказывать сотрудникам организации об основах ИБ (про угрозы и базовые механизмы защиты), объяснять требования ИБ, принятые в организации, давать советы, как лучше (с точки зрения ИБ) поступить в той или иной ситуации. Форматы могут быть любые, начиная от внутренних тренингов и семинаров, до рассылок электронных писем и размещения мотивирующих картинок на стенах. Выбирайте сами...
Что получаем в итоге
·         Материалы (информация) для ознакомления персонала
·         Журнал учета (при необходимости, официальный документы)
Периодичность: 2-12 раз в год

10. Обучение и повышение осведомленности сотрудников подразделения ИБ
Необходимо постоянно развивать свои навыки, получать новые актуальные знания в вопросах ИБ. 
Для этого мы можем:
·         посещать мероприятия по ИБ;
·         посещать мероприятия по смежным областям (ИТ, управление проектами, обеспечение физической безопасности;
·         учиться на курсах по ИБ и ИТ;
·         смотреть вебинары по ИБ и ИТ;
·         читать книги, статьи по ИБ и ИТ;
·         общаться в профессиональных группах по ИБ и ИТ;
·         готовиться и сдавать экзамены по ИБ и ИТ.
Что получаем в итоге
·         Перечень компетенций сотрудников подразделения ИБ (рабочий документ)
·         Перечень профессиональных сертификатов сотрудников подразделения ИБ  (рабочий документ)
·         Библиотека знаний (электроных и бумажных носителей)
·         Журнал учета посещения мероприятий и обучения по ИБ (при необходимости, рабочий документ)
Периодичность: 2-4 раза в год


Вроде все!

Комментариев нет :

Отправить комментарий

Search