Generalno rukovodstvo sigurnost informacija u Banci vrši predsednik Upravnog odbora Banke na osnovu zadataka predstavljenih u Konceptu, principa organizacije i funkcionisanja sistema informacione bezbednosti i osnovnih pretnji.

Određene su sljedeće oblasti djelovanja Banke u upravljanju sigurnošću informacija:

• - organizacija upravljanja bezbednošću informacija u automatizovani sistemi i mreže;
• - organizacija zaštite govorne informacije;
• - odredba fizička zaštita Banke u kojima se obrađuju i čuvaju podaci koji predstavljaju poslovnu tajnu;
• - učešće u organizaciji opšteg toka poslovnih dokumenata;
• - organizacija i zaštita prometa povjerljivi dokumenti.

Upravljanje sigurnosnim mjerama, uspostavljanje korisničkih prava i kontrola mora se vršiti centralno, uzimajući u obzir posebnosti obrade i prijenosa informacija u određenim sistemima i dijelovima mreže. Rad na osiguranju sigurnosti informacija u sistemima i mrežama direktno obavljaju:

• - Odjeljenje za informatičku sigurnost;
• - administratori sistema i mreže;
• - lica odgovorna za sigurnost informacija u sektorima Banke;
• - Režimsko odjeljenje Uprave za ekonomsku sigurnost.

Odjel za informatičku sigurnost je osnova centralizovano upravljanje i kontrolu informacione sigurnosti u sistemima i mrežama Banke. Osnovni zadatak Sektora za informacionu bezbednost je organizovanje kontinuiranog, planskog i ciljanog rada na obezbeđenju informacione bezbednosti i praćenje primene regulatornih dokumenata banke o informacionoj bezbednosti.

Zaposleni u Sektoru informacionih tehnologija Banke imenovani su za sistemske i mrežne administratore, koji su odgovorni za obezbeđivanje operativnosti sistema i mreža, sprovođenje Plana rada bez otkaza i oporavka sistema i mreža. Glavni zadaci administratora:

• 1. Direktno upravljanje sistemima i mrežama, praćenje integriteta sistema i mreža;
• 2. Osiguranje nesmetanog rada i vraćanje funkcionalnosti sistema u slučaju kvarova i kvarova.

Za sigurnost informacija u odeljenjima zaduženi su zaposleni u strukturnim odeljenjima Banke. Njihov glavni zadatak je praćenje primjene pravila rada u automatiziranim sistemima i mrežama banke od strane službenika odjela.

Osnovni zadatak odjeljenja granskog režima u pogledu obezbjeđenja informacione sigurnosti je organizovanje i sprovođenje čitavog niza mjera zaštite informacija u filijali.

Organizaciju, planiranje i sprovođenje mjera zaštite govornih informacija vrši Odjeljenje za ekonomsku sigurnost. Glavni ciljevi zaštite govornih informacija su:

• 1. Praćenje poštovanja od strane zaposlenih u Banci procedure i pravila za postupanje sa poverljivim informacijama i sprečavanje njihovog odavanja;
• 2. Detekcija i suzbijanje mogući kanali curenje govornih informacija;
• 3. Metodološko uputstvo o zaštiti govornih informacija u sektorima Banke.

Opću kontrolu zaštite govornih informacija vrši Odjeljenje za ekonomsku sigurnost.

Organizovanje i pružanje fizičke zaštite objekata Banke (uključujući dodatne kancelarije i ekspoziture), u kojima se obrađuju i čuvaju poverljive informacije, vrši Sektor ekonomske bezbednosti Banke. Glavni ciljevi fizičke zaštite su:

• 1. Organizacija zaštite zgrada, poslovnih prostorija i okolnih površina od mogućeg prodora i zadiranja spolja neovlašćene osobe i isključujući moguću krađu, iskrivljavanje i uništavanje povjerljivih informacija od strane njih;
• 2. staranje da se zaposleni i posjetioci Banke pridržavaju reda i pravila prolaska i ponašanja na teritoriji Banke;
• 3. Fizička sigurnost medija za skladištenje materijala tokom njihovog skladištenja i transporta.

Organizacija zaštite povjerljivih dokumenata u odjeljenjima Banke povjerena je:

• - zamjenik predsjednika Upravnog odbora Banke - u nadziranim odjeljenjima i odjeljenjima;
• - šefovi odjeljenja (šefovi odjeljenja) - u odjeljenjima (odsjecima);
• - šefovi odjeljenja - u odjeljenjima;
• - Rukovodioci filijala (direktori dodatnih kancelarija) - u filijalama (dodatnim kancelarijama).

Organizacija računovodstva materijalnih medija koji sadrže podatke koji predstavljaju poslovnu tajnu (povjerljivi kancelarijski rad) povjerava se Administrativno-kadrovskoj službi Banke i Sektoru ekonomske sigurnosti, u filijalama (filijalama) - zaposlenima posebno određenim za ove namjene, imenovanim po nalogu za filijalu (filijalu).

Za evidentiranje i čuvanje lozinki i kriptografskih materijala alata za šifrovanje koji se koriste u Banci, u okviru Sektora za informacionu bezbednost organizovan je samostalni deo poverljivog kancelarijskog rada. Glavni ciljevi organizacije sistema upravljanja povjerljivim dokumentima su:

• - odabir i raspoređivanje kadrova u povjerljivom radnom prostoru kancelarije;
• - organizacija toka povjerljivih dokumenata u Banci;
• - sprovođenje zatvorene korespondencije;
• - organizacija računovodstva i kontrole povjerljivih dokumenata;
• - organizacija i implementacija sistema izdavanja dozvola za omogućavanje izvođačima da rade sa povjerljivim dokumentima.

Tekuća kontrola poštovanja uslova za zaštitu informacija na materijalnim medijima poverena je Sektoru za ekonomsku bezbednost Banke.

Odgovornost

Odgovornost za otkrivanje podataka koji predstavljaju poslovnu tajnu Banke i gubitak dokumenata, proizvoda i magnetni mediji koji sadrže takve informacije utvrđuje se u skladu sa aktuelno zakonodavstvo Ruska Federacija.

Odgovornost za otkrivanje i gubitak informacija koje sadrže poslovnu tajnu snosi lično svaki zaposlenik Banke koji im ima pristup.

Promovirajte svijest zaposlenih

Suštinski faktor u efektivnoj implementaciji ovih principa je komunikacijski ciklus aktivnosti, koji osigurava da je upravljanje sigurnošću informacija stalno fokusirano na trenutne rizike. Važno je da najviši menadžment organizacije prepozna postojanje rizika narušavanja poslovnih procesa povezanih sa bezbednošću informacionih sistema. Osnova za razvoj i implementaciju politika i odabir potrebnih kontrola je procjena rizika pojedinačnih poslovnih aplikacija. Preduzeti koraci će povećati svijest korisnika o rizicima i povezanim politikama. Efikasnost kontrola je predmet evaluacije kroz različite studije i revizije. Rezultati pružaju pristup za naknadne procjene rizika i identifikuju potrebne promjene politika i kontrola. Svim ovim radnjama centralno koordinira služba obezbjeđenja ili osoblje stručnjaka koje se sastoji od konsultanata, predstavnika poslovnih jedinica i menadžmenta organizacije. Ciklus upravljanja rizikom je ilustrovan na slici.

Metode implementacije programa informacione sigurnosti

Sljedećih šesnaest metoda korištenih za implementaciju pet principa upravljanja rizikom istaknuto je na sljedećoj ilustraciji. Ove tehnike su ključne za efikasnu implementaciju programa informacione bezbednosti organizacije.

Procijenite rizik i identificirajte potrebe

Procjena rizika je prvi korak u implementaciji programa informacione sigurnosti. Sigurnost se ne posmatra sama po sebi, već kao skup politika i povezanih kontrola dizajniranih da podrže poslovne procese i smanje povezane rizike. Dakle, identifikacija poslovnih rizika povezanih sa bezbednošću informacija je početna tačka ciklusa upravljanja rizikom (bezbednošću informacija).

Prepoznati informacione resurse kao značajnu (integralnu) imovinu organizacije

Prepoznavanje rizika informacione sigurnosti od strane menadžmenta organizacije, kao i skup mjera usmjerenih na identifikaciju i upravljanje ovim rizicima je važan faktor razvoj programa informacione bezbednosti. Ovaj pristup menadžmentu će osigurati da se sigurnost informacija shvati ozbiljno na nižim organizacionim nivoima organizacije i da se stručnjacima za sigurnost informacija obezbjede resursi neophodni za efikasnu implementaciju programa.

Razviti praktične procedure procjene rizika koje povezuju sigurnosne i poslovne zahtjeve

Postoje različite metodologije za procjenu rizika, u rasponu od neformalne diskusije o riziku do poštene složene metode, što uključuje korištenje specijaliziranih softver. Međutim, globalno iskustvo uspješnih procedura upravljanja rizicima opisuje relativno jednostavan proces koji uključuje učešće različitih odjela finansijskih organizacija uz uključivanje stručnjaka sa poznavanjem poslovnih procesa, tehnički stručnjaci i specijaliste iz oblasti informacione bezbednosti.

Vrijedi naglasiti da razumijevanje rizika ne uključuje njihovo precizno kvantificiranje, uključujući vjerovatnoću incidenta ili cijenu štete. Takvi podaci nisu dostupni jer gubici možda neće biti otkriveni i uprava možda neće biti obaviještena. Osim toga, ograničeni su podaci o punim troškovima sanacije štete uzrokovane slabim sigurnosnim kontrolama, kao i operativnim troškovima ovih kontrola. Zbog stalnih promjena u tehnologiji i softveru i alatima dostupnim napadačima, upitna je upotreba statistike prikupljene prethodnih godina. Kao rezultat toga, teško je, ako ne i nemoguće, precizno uporediti trošak kontrola sa rizikom od gubitka kako bi se utvrdilo koja je kontrola najisplativija. U svakom slučaju, menadžeri poslovnih jedinica i stručnjaci za sigurnost informacija moraju se osloniti na najbolje dostupne informacije kada odlučuju o odgovarajućim kontrolama.

Uspostaviti odgovornosti za menadžere poslovnih jedinica i menadžere uključene u sigurnosni program

Menadžeri poslovnih jedinica moraju snositi primarnu odgovornost za određivanje nivoa sigurnosti (povjerljivosti) informacionih resursa koji podržavaju poslovne procese. To su menadžeri poslovnih jedinica u u najvećoj meri mogu utvrditi koji od informacijskih resursa je najkritičniji, kao i mogući utjecaj na poslovanje u slučaju narušavanja njegovog integriteta, povjerljivosti ili dostupnosti. Osim toga, menadžeri poslovnih jedinica mogu ukazati na kontrole (mehanizme) koje mogu naštetiti poslovnim procesima. Dakle, njihovim uključivanjem u izbor kontrola, može se osigurati da kontrole ispunjavaju zahtjeve i da će biti uspješno implementirane.

Kontinuirano upravljajte rizicima

Sigurnost informacija zahtijeva stalnu pažnju kako bi se osiguralo da kontrole budu adekvatne i efikasne. Kao što je ranije napomenuto, savremene informacije i srodne tehnologije, kao i faktori koji se odnose na sigurnost informacija, stalno se mijenjaju. Takvi faktori uključuju prijetnje, tehnologije i konfiguracije sistema, poznate ranjivosti softvera, nivo pouzdanosti automatizovanih sistema i elektronskih podataka i kritičnost podataka i operacija.

Postavite centralizovano upravljanje

Menadžment tim djeluje prvenstveno kao savjetnik ili konsultant poslovnim jedinicama i ne može nametati metode (alatke) sigurnosti informacija.

Odredite liderski tim za ključne akcije

Uopšteno govoreći, liderski tim treba da bude (1) katalizator (akcelerator) procesa, obezbeđujući da se rizici bezbednosti informacija kontinuirano adresiraju; (2) centralni konsultantski resurs za organizacione jedinice; (3) sredstvo za saopštavanje rukovodstvu organizacije informacija o stanju informacione bezbednosti i preduzetim merama. Pored toga, liderski tim omogućava centralizovano upravljanje dodeljenim zadacima, u suprotnom ti zadaci mogu biti duplirani od strane različitih delova organizacije.

Omogućite liderskom timu lak i nezavisan pristup višem menadžmentu organizacije

Uočavamo potrebu za razgovorom o problemima sigurnosti informacija od strane menadžera upravljačke grupe sa najvišim menadžmentom organizacije. Takav dijalog će nam omogućiti da djelujemo efikasno i izbjegnemo nesuglasice. Inače moguće konfliktne situacije sa menadžerima poslovnih jedinica i programerima sistema koji žele brzo implementirati novo softverskih proizvoda, i stoga osporavaju upotrebu kontrola koje mogu ometati efikasnost i jednostavnost korištenja softvera. Stoga, prilika da se razgovara o pitanjima sigurnosti informacija na najvišem nivou može osigurati da se rizici u potpunosti razumiju i tolerišu prije donošenja konačnih odluka.

Odredite i rasporedite budžet i osoblje

Budžet će vam omogućiti da planirate i postavite ciljeve za vaš program sigurnosti informacija. Kao minimum, budžet uključuje plate zaposlenima i troškovima obuke. Nivo osoblja rukovodećeg tima (bezbednosne jedinice) može da varira i zavisi kako od postavljenih ciljeva tako i od projekata koji se razmatraju. Kao što je ranije navedeno, i tehnički stručnjaci i zaposleni u poslovnim jedinicama mogu biti uključeni u rad u grupi.

Povećati profesionalizam i tehničko znanje zaposlenih

Ljudi unutar organizacije moraju biti uključeni u različite aspekte programa informacione sigurnosti i imati odgovarajuće vještine i znanja. Potreban nivo profesionalizma zaposlenih može se postići kroz obuku, koju mogu sprovoditi i stručnjaci organizacije i spoljni konsultanti.

Implementirati potrebne politike i odgovarajuće kontrole

Politike informacione bezbednosti su osnova za usvajanje određenih procedura i izbor kontrolnih (upravljačkih) sredstava (mehanizama). Politika je primarni mehanizam kojim menadžment saopštava svoje stavove i zahtjeve zaposlenima, kupcima i poslovnim partnerima. Za sigurnost informacija, kao i za druge oblasti interne kontrole, zahtjevi politike direktno zavise od rezultata procjene rizika.

Uspostaviti odnos između politika i poslovnih rizika

Sveobuhvatan skup adekvatnih politika koje su dostupne i razumljive korisnicima jedan je od prvih koraka u uspostavljanju programa za sigurnost informacija. Vrijedi naglasiti važnost kontinuirane podrške (prilagođavanja) politika za pravovremeni odgovor na identificirane rizike i moguće nesuglasice.

Razlika između politika i smjernica

Opšti pristup kreiranju politika bezbednosti informacija treba da uključuje (1) koncizne politike visokog nivoa i (2) više detaljne informacije predstavljeno u praktičnim smjernicama i standardima. Politike obezbjeđuju osnovne i obavezne zahtjeve koje prihvata više rukovodstvo. Iako smjernice za praksu nisu obavezne za sve poslovne jedinice. Ovaj pristup omogućava najvišem menadžmentu da se fokusira na najviše važnih elemenata informaciona sigurnost, kao i pružanje fleksibilnosti menadžerima poslovnih jedinica i olakšavanje razumijevanja politika zaposlenima.

Pobrinite se da liderski tim podržava politike

Upravljački tim bi trebao biti odgovoran za razvoj politike informacione sigurnosti organizacije u saradnji sa menadžerima poslovnih jedinica, internim revizorima i pravnim savjetnicima. Pored toga, upravljačka grupa treba da pruži neophodna pojašnjenja i odgovore na pitanja korisnika. To će pomoći u rješavanju i sprječavanju nesporazuma, kao i prihvatanju neophodne mere, nije obuhvaćeno politikama (smjernicama).

Politika bi trebala biti dostupna tako da korisnici mogu pristupiti najnovijim verzijama ako je potrebno. Korisnici moraju potpisati da su upoznati sa pravilima prije nego im se odobri pristup informacionim resursima organizacije. Ako je korisnik umiješan u sigurnosni incident, ovaj ugovor će poslužiti kao dokaz da je on ili ona obaviješten o politikama organizacije, kao io mogućim sankcijama u slučaju njihovog kršenja.

Promovirajte svijest

Kompetencija korisnika je preduslov za uspješnu sigurnost informacija i također pomaže da se osigura da kontrole rade ispravno. Korisnici ne mogu slijediti politiku koju ne znaju ili ne razumiju. Nesvjesni rizika povezanih sa informacionih resursa organizacije, možda ne vide potrebu za implementacijom politika dizajniranih da smanje rizike.

Kontinuirana obuka korisnika i ostalih zaposlenih o rizicima i srodnim politikama

Menadžment tim mora obezbijediti strategiju za stalnu obuku zaposlenih koji na ovaj ili onaj način utiču na informacionu sigurnost organizacije. Tim bi se trebao fokusirati na zajedničko razumijevanje rizika povezanih sa informacijama koje se obrađuju u organizaciji i politikama i kontrolama za ublažavanje tih rizika.

Koristite prijateljski pristup

Menadžment tim bi trebao koristiti različite metode obuke i poticaja kako bi politike organizacije učinili dostupnim i educirali korisnike. Treba izbjegavati sastanke koji se održavaju jednom godišnje sa svim zaposlenima u organizaciji, naprotiv, obuku je najbolje provoditi u malim grupama zaposlenih.

Pratiti i ocjenjivati ​​djelotvornost politika i kontrola

Kao i svaka vrsta aktivnosti, informaciona sigurnost je podložna kontroli i periodičnoj ponovnoj procjeni kako bi se osigurala adekvatnost (usklađenost) politika i sredstava (metoda) kontrole sa postavljenim ciljevima.

Pratiti faktore koji utiču na rizike i ukazuju na efikasnost informacione bezbednosti

Kontrola bi se prvenstveno trebala fokusirati na (1) dostupnost kontrola i njihovu upotrebu za smanjenje rizika i (2) procjenu efikasnosti programa i politika sigurnosti informacija za poboljšanje razumijevanja korisnika i smanjenje incidenata. Takve revizije uključuju testiranje kontrolnih sredstava (metoda), procenu njihove usklađenosti sa politikama organizacije, analizu bezbednosnih incidenata, kao i druge pokazatelje efikasnosti programa informacione bezbednosti. Učinkovitost liderskog tima može se procijeniti na osnovu, na primjer, ali ne ograničavajući se na sljedeće:

• broj održanih obuka i sastanaka;
• broj završenih procjena(a) rizika;
• broj certificiranih specijalista;
• odsustvo incidenata koji otežavaju rad zaposlenih u organizaciji;
• smanjenje broja novih projekata koji se realizuju sa zakašnjenjem zbog problema informacione bezbednosti;
• punu usklađenost ili dogovorena i evidentirana odstupanja od minimalni zahtjevi sigurnost informacija;
• smanjenje broja incidenata koji su doveli do neovlašćeni pristup, gubitak ili izobličenje informacija.

Koristite nalaze za koordinaciju budućih napora i povećanje odgovornosti menadžmenta

Kontrole svakako pomažu da se organizacija uskladi sa utvrđenim politikama sigurnosti informacija, ali pune prednosti kontrola neće biti postignute osim ako se rezultati ne koriste za poboljšanje programa informacione sigurnosti. Kontrolni pregled pruža profesionalcima za sigurnost informacija i poslovnim menadžerima sredstva za (1) ponovnu procjenu prethodno identifikovanih rizika, (2) identifikaciju novih područja zabrinutosti, (3) ponovnu procjenu dovoljnosti i prikladnosti postojećih kontrola i mjera sprovođenja. sigurnost informacija, (4) ) utvrđivanje potreba za novim sredstvima i kontrolnim mehanizmima, (5) preusmjeravanje kontrolnih napora (kontrolne akcije). Osim toga, rezultati se mogu koristiti za procjenu učinka poslovnih menadžera odgovornih za razumijevanje i ublažavanje rizika u poslovnim jedinicama.

Pratite nove metode i kontrole

Važno je osigurati da (1) stručnjaci za sigurnost informacija budu u toku s razvojem metoda i alata (aplikacija) i da imaju najviše najnovije informacije o ranjivosti informacionih sistema i aplikacija, (2) najviši menadžment osigurava da ima potrebne resurse za to.

Prijatelji! Pozivamo vas na diskusiju. Ako imate svoje mišljenje, pišite nam u komentarima.

Dobar dan dragi moji!
Dugo nisam pisao na Habru, nisam imao vremena, imao sam puno posla. Ali sada sam se rasteretio i formirao misli za novi post.

Razgovarao sam sa jednim od mojih drugova koji je bio zadužen za poslove informacione sigurnosti u jednoj organizaciji (druže sistem administrator) i on je tražio da mi kaže odakle da počnem i kuda da idem. Malo sam posložio svoje misli i znanje i dao mu grubi plan.
Nažalost, ova situacija je daleko od izolirane i često se javlja. Poslodavci, po pravilu, žele i Švajcarca i žeteoca i igrača na lulu, i sve to za jednu cenu. Kasnije ću se vratiti na pitanje zašto informacionu sigurnost ne bi trebalo klasifikovati kao IT, ali sada razmislimo odakle bi trebali početi ako se to dogodilo i ako ste se prijavili za takvu avanturu, odnosno kreiranje sistema upravljanja sigurnošću informacija ( ISMS).

Analiza rizika

Gotovo sve u informacionoj sigurnosti počinje analizom rizika, to je osnova i početak svih sigurnosnih procesa. Provest ću kratak edukativni program iz ove oblasti, jer mnogi pojmovi nisu očigledni i najčešće se brkaju.
Dakle, postoje 3 glavna koncepta:

• Vjerovatnoća implementacije
• Ranjivost

Rizik je mogućnost nanošenja bilo kakvih gubitaka (monetarnih, reputacijskih, itd.) zbog implementacije ranjivosti.
Vjerovatnoća nastanka je kolika je vjerovatnoća da će određena ranjivost biti iskorištena za realizaciju rizika.
Ranjivost je direktna praznina u vašem sigurnosnom sistemu, koja sa određenom vjerovatnoćom može uzrokovati štetu, odnosno ostvariti rizik.

Postoji mnogo metoda, različitih pristupa upravljanju rizicima, reći ću vam o osnovama, ostalo vam neće trebati u početku u razvoju ISMS-a.
Dakle, sav rad na upravljanju rizicima svodi se ili na smanjenje vjerovatnoće implementacije ili na minimiziranje gubitaka od implementacije. Shodno tome, rizici mogu, ali i ne moraju biti prihvatljivi za organizaciju. Prihvatljivost rizika najbolje se izražava u konkretnim iznosima gubitaka od njegove implementacije (u svakom slučaju, čak i naizgled nematerijalni gubici ugleda na kraju rezultiraju izgubljenom dobiti). Potrebno je sa menadžmentom odlučiti koji će iznos biti prag prihvatanja za njih i napraviti gradaciju (poželjno 3-5 nivoa za gubitke). Zatim napravite gradaciju prema vjerovatnoći, kao i kod gubitaka, a zatim procijenite rizike na osnovu zbira ovih pokazatelja.
Poslije pripremni rad, istaknite stvarne ranjivosti vaše organizacije i procijenite rizike njihove implementacije i gubitke. Kao rezultat toga, dobit ćete 2 skupa rizika - prihvatljivih i neprihvatljivih. Sa prihvatljivim rizicima, jednostavno ih prihvatate i nećete preduzimati aktivne korake da ih minimizirate (odnosno, prihvatamo da će nas minimiziranje ovih rizika koštati više od gubitaka od njih), a kod neprihvatljivih postoje 2 opcije za razvoj događaja.

Minimizirati - smanjiti vjerovatnoću nastanka, smanjiti moguće gubitke ili općenito poduzeti mjere za uklanjanje rizika (zatvaranje ranjivosti).
Transfer – jednostavno prebacite brigu o riziku na drugu osobu, na primjer, osigurajte organizaciju od rizičnih pojava ili prenesite rizično sredstvo (na primjer, premjestite servere u centar podataka, na taj način neprekidno napajanje a fizička sigurnost servera će biti odgovornost data centra).

Scale

Prije svega, naravno, potrebno je procijeniti razmjere katastrofe. Neću se doticati pitanja zaštite ličnih podataka, već postoji mnogo članaka na ovu temu, postoje praktične preporuke i algoritmi djelovanja opisani više puta.
Podsjećam i da je informaciona sigurnost prvenstveno vezana za ljude, pa je potrebna regulatorna dokumentacija. Da biste to napisali, prvo morate razumjeti šta tu napisati.
Postoje 3 glavna dokumenta za informacionu sigurnost u tom pogledu:

Politika sigurnosti informacija

Vaš glavni dokument, referentna knjiga, Biblija i drugi veliki naslovi. Opisuje sve procedure sigurnosti informacija i opisuje nivo sigurnosti koji slijedite u svojoj organizaciji. Takoreći - idealan sigurnosni profil, dokumentovan i prihvaćen po svim pravilima.
Politika ne treba da bude mrtvi teret, dokument treba da živi, ​​treba da se menja pod uticajem novih pretnji, trendova u informacionoj bezbednosti ili želja. U tom smislu, politiku (kao, u principu, svaki proceduralni dokument) treba redovno revidirati u pogledu relevantnosti. Bolje je to raditi barem jednom godišnje.

Koncept sigurnosti informacija

Mali izvod iz politike, koji opisuje osnovnu sigurnost vaše organizacije, ne postoje specifični procesi, ali postoje principi za izgradnju ISMS-a i principi za kreiranje sigurnosti.
Ovaj dokument je više slikovni dokument; ne bi trebao sadržavati nikakve “osjetljive” informacije i trebao bi biti otvoren i dostupan svima. Postavite ga na svoju web stranicu, stavite u poslužavnik na informativnom štandu kako bi se vaši klijenti i posjetitelji mogli upoznati s njim ili jednostavno vidjeti da vam je stalo do sigurnosti i da ste spremni da je demonstrirate.

Pravilnik o poslovnoj tajni ( povjerljiva informacija)

Alternativni naziv za takav dokument je naveden u zagradama. Uglavnom, kom. tajna je poseban slučaj povjerljivo, ali postoji vrlo malo razlika.
Ovaj dokument mora naznačiti sljedeće: kako i gdje se čuvaju dokumenti koji čine com. tajna, ko je odgovoran za čuvanje ovih dokumenata, kako treba da izgleda šablon dokumenta koji sadrži takve informacije, koja će biti kazna za odavanje poverljivih informacija (prema zakonu i prema internim ugovorima sa menadžmentom). I naravno, lista informacija koje predstavljaju poslovnu tajnu ili su povjerljive za vašu organizaciju.
Po zakonu, bez poduzimanja mjera zaštite povjerljivih informacija, kao da ih nemate :-) Odnosno, sama informacija izgleda postoji, ali ne može biti povjerljiva. I zanimljivo je da je ugovor o tajnosti potpisan u 90% organizacija sa novim zaposlenima, ali je malo njih poduzelo mjere propisane zakonom. Maksimalna lista informacija.

Revizija

Da biste napisali ove dokumente, tačnije, da biste razumjeli šta bi u njima trebalo biti, potrebno je izvršiti reviziju trenutna drzava IB. Jasno je da u zavisnosti od aktivnosti organizacije, teritorijalne distribucije itd., postoji mnogo nijansi i faktora za svaku konkretnu organizaciju, ali postoji nekoliko glavnih tačaka koje su svima zajedničke.

Politika pristupa

Ovdje postoje 2 filijale - ovo su fizički pristup do prostorija i pristup informacionim sistemima.

Fizički pristup

Opišite svoj sistem kontrole pristupa. Kako i kada se izdaju pristupne kartice, ko određuje ko ima pristup kojim prostorijama (pod uslovom da su prostorije opremljene sistemom kontrole pristupa). Vrijedi ovdje spomenuti i sistem video nadzora, principe njegove konstrukcije (nema slijepih uglova u nadgledanim prostorijama, obavezna kontrola ulaza i izlaza u/iz zgrade, kontrola ulaza u server sobu i sl.). Također, ne zaboravite na posjetitelje, ako nemate opći prijemni prostor (a čak i ako ga imate), vrijedi naznačiti kako posjetitelji ulaze u kontrolirani prostor (privremene propusnice, osoba u pratnji).
Za serversku sobu takođe treba da postoji posebna lista pristupa sa evidencijom poseta (lakše je ako server soba ima instaliran sistem kontrole pristupa i sve se održava automatski).

Pristup informacionim sistemima

Opišite proceduru za odobravanje pristupa, ako se koristi višefaktorska autentikacija, zatim izdavanje dodatnih identifikatora. Politika lozinke (datum isteka lozinke, složenost, broj pokušaja prijave, vrijeme za blokiranje naloga nakon prekoračenja broja pokušaja) za sve sisteme kojima je pristup odobren, ako nemate svugdje Single Log On.

Izgradnja mreže

Gdje se nalaze serveri koji imaju vanjski pristup (DMZ), kako im se pristupa iznutra i izvana. Segmentacija mreže i kako se ona postiže. Vatrozidovi, koje segmente štite (ako ih ima unutar mreže između segmenata).

Daljinski pristup

Kako je organizovano i ko ima pristup. Idealno bi trebalo da bude ovako: samo VPN, pristup samo u dogovoru sa višim menadžmentom i uz opravdanje potrebe. Ako je pristup potreban trećim stranama (prodavci, servisno osoblje itd.), tada je pristup vremenski ograničen, odnosno račun se izdaje na određeni period, nakon čega se automatski blokira. Naravno, kada daljinski pristup U svakom slučaju, prava moraju biti ograničena na minimum.

Incidenti

Kako se obrađuju, ko je odgovoran i kako su strukturirani proces upravljanja incidentima i problemi upravljanja (ako ih ima, naravno). Već sam imao post o radu sa incidentima: možete pročitati više.
Također je potrebno utvrditi trendove u vašoj organizaciji. Odnosno, koji se incidenti češće dešavaju, koji uzrokuju veću štetu (zastoji, direktan gubitak imovine ili novca, oštećenje ugleda). Ovo će pomoći u kontroli rizika i analizi rizika.

Imovina

IN u ovom slučaju Imovina znači sve što zahtijeva zaštitu. Odnosno serveri, informacije na papiru ili prenosivim medijima, tvrdi diskovi kompjuteri itd. Ako bilo koja imovina sadrži “osjetljive” informacije, onda ona mora biti označena na odgovarajući način i mora postojati lista radnji dozvoljenih i zabranjenih sa ovom imovinom, kao što je prijenos trećim licima, prijenos od strane e-mail unutar organizacije, postavljanje u javni pristup unutar organizacije itd.

Obrazovanje

Trenutak na koji mnogi ljudi zaborave. Zaposlenike treba obavijestiti o sigurnosnim mjerama. Nije dovoljno upoznati se s uputama i pravilima i potpisati ih; 90% ih neće pročitati, već će ih jednostavno potpisati da ih se riješi. Napravio sam i publikaciju o treningu: Sadrži glavne tačke koje su važne tokom treninga i koje se ne smiju zaboraviti. Pored same obuke, ovakvi događaji su korisni u smislu komunikacije između zaposlenih i službenika obezbeđenja ( lijepo ime, Stvarno mi se sviđa :-). Možete saznati za neke sitne incidente, želje, pa čak i probleme za koje u normalnom radu teško da biste znali.

Zaključak

To je vjerovatno sve što sam želio reći početnicima u oblasti informacione sigurnosti. Razumijem da bih ovakvim postom mogao neke od svojih kolega lišiti posla, jer će potencijalni poslodavac jednostavno dodijeliti ove odgovornosti administratoru, ali ću također zaštititi mnoge organizacije od integratora i prevaranta koji vole ispumpati novac za revizije i pisanje pamfleta na više stranica, o čemu, predstavljajući ih kao standard (http://site/post/153581/).
Sledeći put ću pokušati da govorim o organizaciji službe informacione bezbednosti kao takve.

P.S. Ako glasate protiv, molimo vas da komentarišete kako ne bih pravio slične greške u budućnosti.

Tagovi:

• Sigurnost informacija
• dokumentaciju
• obrazovanje

Dodaj oznake

Upravljanje sigurnošću informacija (ISM) - proces koji obezbeđuje povjerljivost, integritet i dostupnost sredstava, informacija, podataka i usluga organizacije. Upravljanje sigurnošću informacija obično dio pristupa upravljanja sigurnošću organizacije koji ima širi opseg od pružaoca usluge i uključuje obradu papirna dokumenta, pristup zgradama, telefonski pozivi itd., za cijelu organizaciju.

Glavna svrha ISM-a je da osigura efektivno upravljanje sigurnošću informacija svih usluga i aktivnosti unutar Uprave za usluge. Sigurnost informacija je dizajniran da zaštiti od kršenja povjerljivosti, dostupnosti i integriteta informacija, informacionih sistema i komunikacija.

1. Povjerljivost- stanje informacija u kojem pristup njima imaju samo subjekti koji na njih imaju pravo.
2. Integritet- stanje informacije u kojem nema promjene ili se promjena vrši samo namjerno od strane subjekata koji na nju imaju pravo;
3. Dostupnost- stanje informacija u kojem ga subjekti s pravom pristupa mogu nesmetano koristiti.

Cilj osiguranja informacione sigurnosti postiže se ako:

1. Informacije su dostupne kada su potrebne, a informacioni sistemi su otporni na napade i mogu ih izbjeći ili brzo oporaviti.
2. Informacije su dostupne samo onima koji imaju odgovarajuća prava.
3. Podaci su tačni, potpuni i zaštićeni od neovlaštenih promjena.
4. Razmjena informacija sa partnerima i drugim organizacijama je sigurno zaštićena.

Poslovanje određuje šta i kako treba zaštititi. Istovremeno, za efektivnost i integritet informacione sigurnosti, potrebno je sagledati poslovne procese od početka do kraja, jer slaba tačka može učiniti cijeli sistem ranjivim.

ISM proces bi trebao uključivati:

• formiranje, upravljanje, širenje i usklađenost sa Politikom informacione bezbednosti i drugim pratećim politikama koje se odnose na bezbednost informacija. Politika sigurnosti informacija- politika koja definira pristup organizacije upravljanju sigurnošću informacija.
• razumijevanje dogovorenih trenutnih i budućih zahtjeva poslovne sigurnosti;
• upotreba sigurnosne kontrole da se pridržavate Politike informacione bezbednosti i upravljate rizicima povezanim sa pristupom informacijama, sistemima i uslugama. Pojam " sigurnosna kontrola" je pozajmljeno iz engleskog i u ovom kontekstu znači skup protumjera i mjera predostrožnosti koje se primjenjuju za otkazivanje, smanjenje i suzbijanje rizika. sigurnosna kontrola sastoji se od proaktivnih i reaktivnih akcija;
• dokumentovanje liste sigurnosne kontrole, radnje za njihovo funkcionisanje i upravljanje, kao i sve rizike povezane sa njima;
• upravljanje dobavljačima i ugovorima koji zahtijevaju pristup sistemima i uslugama. Izvodi se u interakciji sa procesom upravljanja dobavljačima;
• kontrola svih narušavanja sigurnosti i incidenata vezanih za sisteme i usluge;
• proaktivno poboljšanje sigurnosne kontrole i smanjenje rizika od kršenja sigurnosti informacija;
• integracija aspekata informacione sigurnosti u sve procese Direkcije za usluge.

Politika sigurnosti informacija treba da uključuje sljedeće:

• implementacija aspekata politike informacione sigurnosti;
• moguća zloupotreba aspekata politike informacione bezbednosti;
• politika kontrole pristupa;
• politika korišćenja lozinke;
• politika e-pošte;
• internet politika;
• politika zaštite od virusa;
• politika klasifikacije informacija;
• politika klasifikacije dokumenata;
• politika udaljenog pristupa;
• politike pristupa dobavljača uslugama, informacijama i komponentama;
• politika raspodjele sredstava.

Navedene politike moraju biti dostupne korisnicima i kupcima, od kojih se zahtijeva da pismeno potvrde svoj dogovor s njima.

Politike odobravaju poslovni i IT menadžment i revidiraju se u zavisnosti od okolnosti.

Da biste osigurali i upravljali sigurnošću informacija, potrebno je održavati Sistem upravljanja sigurnošću informacija. Sistem upravljanja sigurnošću informacija Sistem upravljanja ili ISMS)- sistem politika, procesa, standarda, uputstava i alata koji osiguravaju da organizacija postigne ciljeve upravljanja sigurnošću informacija. Na sl. Slika 6.3 prikazuje ISMS strukturu koju organizacije najčešće koriste.

Rice. 6.3. ISMS

Da bi se osigurala i podržala politika sigurnosti informacija, potrebno je kreirati i koristiti set sigurnosne kontrole. Da biste spriječili incidente i ispravno reagirali ako do njih dođe, koristite sigurnosne mjere prikazane na Sl. 6.5.

Rice. 6.5.

Na sl. 6.5 postoje četiri faze. Prva faza je pojava prijetnje. Prijetnja je sve što može negativno utjecati ili prekinuti poslovni proces. Incident je prijetnja ostvarena. Incident je polazna tačka za prijavu sigurnosne kontrole. Incident rezultira štetom. Sigurnosne kontrole se također primjenjuju za upravljanje ili uklanjanje rizika. Za svaku fazu potrebno je odabrati odgovarajuće mjere sigurnosti informacija:

1. preventivne - sigurnosne mjere koje sprječavaju nastanak incidenta sigurnosti informacija. Na primjer, distribucija prava pristupa.
2. restorativne - sigurnosne mjere usmjerene na smanjenje potencijalne štete u slučaju incidenta. Na primjer, backup.
3. detektovanje - mere bezbednosti usmerene na otkrivanje incidenata. Na primjer, antivirusna zaštita ili sistem za otkrivanje upada.
4. supresivne - mjere sigurnosti koje suzbijaju pokušaje implementacije prijetnje, odnosno incidente. Na primjer, bankomat oduzima karticu klijenta nakon određenog broja netačnih unosa PIN-a.
5. korektivne - sigurnosne mjere usmjerene na oporavak nakon incidenta. Na primjer, oporavak rezervne kopije, vraćanje na prethodni uslovi rada i tako dalje.

Inputi za ISM proces su:

1. informacije iz poslovanja - strategije, planovi, poslovni budžet, kao i njegovi sadašnji i budući zahtjevi;
2. poslovne sigurnosne politike, sigurnosni planovi, analiza rizika;
3. informacije iz IT-a - IT strategija, planovi i budžet;
4. informacije o uslugama - informacije iz SLM-a, posebno Portfolio usluga i Katalog usluga, SLA/SLR;
5. izvještaji o analizi procesa i rizika od ISM-a, upravljanja dostupnošću i upravljanja kontinuitetom usluga;
6. detaljne informacije o svim incidentima sigurnosti informacija i „prazninama“ u njima;
7. informacije o promeni – informacije iz procesa upravljanja promenama, posebno raspored promena i njihov uticaj na planove, politike i kontrole bezbednosti informacija;
8. informacije o poslovnim odnosima sa uslugama, uslugama podrške i tehnologijama;
9. informacije o pristupu partnera i dobavljača uslugama i sistemima koje pružaju procesi Upravljanje dobavljačima i Upravljanje dostupnošću.

ISM izlazi su:

1. sveobuhvatna politika sigurnosti informacija i druge prateće politike koje su relevantne za sigurnost informacija;
2. Sistem upravljanja sigurnošću informacija (ISMS), koji sadrži sve informacije potrebne za podršku ISM-u;
3. rezultate ponovne procjene rizika i revizije izvještaja;
4. komplet sigurnosne kontrole, opis njihovog poslovanja i upravljanja, kao i svih rizika povezanih s njima;
5. revizije i izvještaji o sigurnosti informacija;
6. raspored testiranja plana sigurnosti informacija;
7. klasifikacija informacijske imovine;
8. izvještaji o postojećim „prazninama“ u informacionoj sigurnosti i incidentima;
9. Politike, procesi i procedure za upravljanje pristupom dobavljača i partnera uslugama i sistemima.

Mnoge metrike se mogu koristiti kao ključni indikatori učinka za proces upravljanja sigurnošću informacija, na primjer:

1. zaštita poslovanja od kršenja sigurnosti informacija
   • procentualno smanjenje poruka o „prazninama“ u Service Desk-u;
   • procentualno smanjenje negativnog uticaja na poslovanje od „prekršaja” i incidenata;
   • procentualno povećanje stavki sigurnosti informacija u SLA.
2. stvaranje jasne i konzistentne politike sigurnosti informacija koja uzima u obzir poslovne potrebe, odnosno smanjenje broja neslaganja između ISM procesa i procesa i politika sigurnosti poslovnih informacija.
3. sigurnosne procedure koje su opravdane, dogovorene i odobrene od strane menadžmenta organizacije:
   • povećanje konzistentnosti i prikladnosti sigurnosnih procedura;
   • povećana podrška menadžmentu
4. mehanizmi poboljšanja:
   • broj predloženih poboljšanja kontrola i procedura;
   • smanjenje broja nedosljednosti otkrivenih tokom testiranja i revizije.
5. Informaciona sigurnost je sastavni dio ITSM usluga i procesa, odnosno povećanje broja usluga i procesa koji imaju ugrađene sigurnosne mjere.

ISM se suočava sa mnogim poteškoćama i rizicima u osiguravanju sigurnosti informacija. Nažalost, u praksi prilično često preduzeća smatraju da se problemima sigurnosti informacija treba baviti samo IT. Još je gore kada preduzeće ne razumije zašto uopće treba obratiti pažnju na sigurnost informacija. Stvaranje efikasnog sistema informacione bezbednosti povlači velike troškove, što mora biti jasno menadžmentu, jer upravo oni donose odluke o finansiranju. Istovremeno, važno je održavati ravnotežu – osiguravanje sigurnosti informacija ne bi trebalo koštati više od informacija koje se štite.

Postojanje mnogih poslovnih procesa nemoguće je bez informacione podrške. Zapravo, sve više poslovnih procesa sastoji se isključivo od jednog ili više informacionih sistema. Upravljanje sigurnošću informacija – važan pogled aktivnosti, čija je svrha kontrola procesa pružanja informacija i sprječavanje njihovog neovlaštenog korištenja.

Dugi niz godina izazovi upravljanja sigurnošću informacija su uglavnom ignorisani. Situacija se menja. Sigurnost se sada smatra jednim od glavnih pitanja upravljanja u narednim godinama. Interes za ovu temu raste zbog sve veće upotrebe interneta, a posebno ecommerce. Sve više i više vrsta preduzeća otvara elektronske pristupe za svoje aktivnosti. Ovo povećava rizik od vanjskog uplitanja i pokreće neka važna poslovna pitanja. Koje rizike želimo da kontrolišemo i koje akcije treba da preduzmemo sada i tokom sledećeg budžetskog ciklusa? Menadžment vrhunski nivo mora donositi odluke, a to je moguće samo sa duboka analiza rizici. Ova analiza treba da pruži ulaz u proces upravljanja sigurnošću informacija neophodan za određivanje sigurnosnih zahtjeva.

Zahtjevi sigurnosti poslovnih informacija utiču na pružaoce IT usluga i trebali bi biti ugrađeni u ugovore o nivou usluga. Cilj Procesa upravljanja sigurnošću informacija je kontinuirano osiguravanje sigurnosti usluga na nivou dogovorenom sa korisnikom. Sigurnost je sada najvažniji pokazatelj kvalitet upravljanja.

Proces upravljanja bezbednošću informacija promoviše integraciju bezbednosnih aspekata u IT organizaciju iz perspektive pružaoca usluga. Kodeks prakse za upravljanje sigurnošću informacija (BS 7799) pruža smjernice za razvoj, implementaciju i evaluaciju sigurnosnih kontrola.

15.1.1. Osnovni koncepti

Proces upravljanja bezbednošću informacija spada u okvir opšte bezbednosti informacija, čiji je zadatak da obezbedi sigurnost informacija. Sigurnost znači biti zaštićen od poznatih rizika i, gdje je moguće, izbjegavanje nepoznatih rizika. Alat da se to osigura je sigurnost. Cilj je zaštititi vrijedne informacije. Vrijednost informacija utiče potreban nivo Povjerljivost, integritet i dostupnost.

Povjerljivost– zaštita informacija od neovlašćenog pristupa i korišćenja.

Integritet– tačnost, potpunost i ažurnost informacija.

Dostupnost– informacije moraju biti dostupne u bilo koje vrijeme u unaprijed dogovorenom vremenskom intervalu. Ovo zavisi od kontinuiteta sistema za obradu informacija.

Sekundarni aspekti uključuju privatnost (povjerljivost i integritet privatnih informacija), anonimnost i provjerljivost (mogućnost provjere ispravne upotrebe informacija i djelotvornosti sigurnosnih mjera).

15.2. Ciljevi procesa

Poslednjih decenija, skoro sve vrste poslovanja postale su sve zavisnije od informacionih sistema. Povećana je i upotreba kompjuterskih mreža, one nisu ograničene na jednu organizaciju, povezuju poslovne partnere i omogućavaju komunikaciju sa vanjskim svijetom. Sve veća složenost IT infrastrukture znači da preduzeća postaju sve ranjivija na tehničke kvarove, ljudske greške, zlonamjerne radnje, hakere i uljeze, kompjuterski virusi itd. Ova rastuća složenost zahtijeva jedinstven pristup menadžmentu. Proces upravljanja sigurnošću informacija ima važne veze sa drugim procesima. Neke sigurnosne aktivnosti provode drugi procesi ITIL biblioteke, pod kontrolom Procesa upravljanja sigurnošću informacija.

Proces upravljanja sigurnošću informacija ima dva cilja:

Usklađenost sa sigurnosnim zahtjevima navedenim u SLA i drugim zahtjevima eksternih ugovora, zakonodavstva i utvrđenih pravila;

Osiguravanje osnovnog nivoa sigurnosti, nezavisno od vanjskih zahtjeva.

Proces upravljanja sigurnošću informacija je neophodan za podršku kontinuiranom funkcionisanju IT organizacije. Takođe pomaže da se pojednostavi upravljanje sigurnošću informacija u okviru upravljanja nivoom usluge, budući da stepen složenosti SLA upravljanja takođe zavisi od njihovog broja.

Ulaz u proces su SLA sporazumi koji definišu bezbednosne zahteve, dopunjeni tamo gde je to moguće dokumentima koji definišu politiku kompanije u ovoj oblasti, kao i druge eksterne zahteve. Proces takođe prima važne informacije vezane za bezbednosna pitanja od drugih procesa, kao što su bezbednosni incidenti. Rezultat uključuje informacije o postignutoj implementaciji SLA zajedno sa izvještajima o vanredne situacije sa sigurnosne tačke gledišta i redovnim sigurnosnim planovima. Trenutno se mnoge organizacije bave bezbednošću informacija na strateškom nivou - na informatička politika I planiranje informacija, a na operativnom nivou, prilikom kupovine alata i drugih sigurnosnih proizvoda. Ne posvećuje se dovoljno pažnje stvarnom Upravljanju sigurnošću informacija, kontinuiranoj analizi i transformaciji operativnih pravila u tehnička rješenja, održavanje efikasnosti sigurnosnih mjera kako se zahtjevi i okruženje mijenjaju. Posljedica jaza između operativnog i strateškog nivoa je da se na taktičkom nivou ulažu značajni resursi u mjere bezbjednosti koje više nisu relevantne, a da treba preduzeti nove, efikasnije mjere. Svrha Procesa upravljanja bezbednošću informacija je da obezbedi da se efektivne mere bezbednosti informacija poduzmu na strateškom, taktičkom i operativnom nivou.

15.2.1. Prednosti korištenja procesa

Sigurnost informacija nije sama sebi svrha; mora služiti interesima poslovanja i organizacije. Neke vrste informacija i informacionih usluga su važnije za organizaciju od drugih. Sigurnost informacija mora odgovarati Nivou važnosti informacija. Sigurnost se planira balansiranjem sigurnosnih kontrola, vrijednosti informacija i postojećih prijetnji u okruženju obrade. Efikasna informaciona podrška sa adekvatnom informacionom bezbednošću važna je za organizaciju iz dva razloga:

Unutrašnji razlozi: Efikasno funkcionisanje organizacije moguće je samo ako ima pristup tačnim i potpunim informacijama. Nivo informacione sigurnosti mora odgovarati ovom principu.

Vanjski razlozi : kao rezultat izvršavanja određenih procesa u organizaciji nastaju proizvodi i usluge koji su dostupni tržištu ili društvu za obavljanje određene zadatke. Neadekvatna informatička podrška dovodi do proizvodnje nekvalitetnih proizvoda i usluga koji se ne mogu koristiti za obavljanje relevantnih zadataka i ugrožavaju postojanje organizacije. Adekvatna zaštita informacija je važan uslov za adekvatnu informatičku podršku. Dakle, eksterni značaj informacione bezbednosti je delimično određen njenim unutrašnjim značajem.

Sigurnost može stvoriti značajnu dodatnu vrijednost za informacione sisteme. Efektivna sigurnost doprinosi kontinuitetu rada organizacije i postizanju njenih ciljeva.

15.3. Proces

Organizacije i njihovi informacioni sistemi se mijenjaju. Standardni šabloni kao što je Kodeks prakse za informaciju Upravljanje sigurnošću) su statične i nedovoljno reagiraju na brze promjene u IT-u. Iz tog razloga, aktivnosti koje se provode u okviru Procesa upravljanja sigurnošću informacija moraju se kontinuirano revidirati kako bi se osigurala efikasnost Procesa. Upravljanje sigurnošću informacija svodi se na neprekidan ciklus planova, akcija, provjera i radnji. Aktivnosti koje se provode u okviru procesa upravljanja sigurnošću informacija ili drugih procesa pod kontrolom upravljanja sigurnošću informacija su opisane u nastavku.

Rice. 15.1. Proces upravljanja sigurnošću informacija (izvor: OGC)

Zahtjevi kupaca prikazani su na desnoj strani gornji ugao, kao ulazni podaci u proces. Ovi zahtjevi su definisani u odjeljku o sigurnosti Ugovora o nivou usluge sigurnosti i osiguranom nivou sigurnosti. Pružalac usluga saopštava ove ugovore IT organizaciji u obliku plana bezbednosti koji definiše bezbednosne kriterijume ili operativne ugovore o nivou usluge. Ovaj plan se izvršava i rezultati se evaluiraju. Zatim se prilagođavaju plan i metode njegove implementacije, o čemu menadžment nivoa usluge obavještava kupca. Na taj način kupac i pružalac usluga zajedno učestvuju u oblikovanju cjelokupnog procesnog ciklusa. Kupac može promijeniti zahtjeve na osnovu primljenih izvještaja, a pružalac usluga može prilagoditi plan ili implementaciju na osnovu zapažanja ili osporiti sporazume definirane u SLA. Kontrolna funkcija je prikazana u sredini slike 15.1. Ovaj dijagram će se koristiti u nastavku da opiše aktivnosti Procesa upravljanja sigurnošću informacija.

15.3.1. Odnosi sa drugim procesima

Proces upravljanja sigurnošću informacija ima veze s drugim ITIL procesima (pogledajte sliku 15.2) jer drugi procesi obavljaju aktivnosti vezane za sigurnost. Ove aktivnosti se rutinski provode pod odgovornošću određenog procesa i njegovog vođe. Pri tome, Proces upravljanja sigurnošću informacija daje drugim procesima uputstva o strukturi aktivnosti vezanih za sigurnost. Obično će se dogovori o ovome utvrditi nakon konsultacija između menadžera procesa upravljanja sigurnošću informacija i drugih menadžera procesa.

Rice. 15.2. Odnosi između procesa upravljanja sigurnošću informacija i drugih procesa (izvor: OGC)

Upravljanje konfiguracijom

U kontekstu informacione sigurnosti, proces upravljanja konfiguracijom ima najveća vrijednost, jer vam omogućava da klasifikujete stavke konfiguracije (CI). Ova klasifikacija definira odnose između stavki konfiguracije i sigurnosnih mjera ili procedura koje postoje.

Klasifikacija stavki konfiguracije određuje njihovu povjerljivost, integritet i dostupnost. Ova klasifikacija je zasnovana na sigurnosnim zahtjevima SLA. Kupac IT organizacije određuje klasifikaciju, jer samo kupac može odlučiti koliko su informacije ili informacioni sistemi važni za poslovne procese. Prilikom kreiranja klasifikacije konfiguracionih jedinica, korisnik uzima u obzir stepen zavisnosti poslovnih procesa od informacionih sistema i informacija. IT organizacija zatim povezuje klasifikaciju sa odgovarajućim stavkama konfiguracije. IT organizacija također mora implementirati skup sigurnosnih kontrola za svaki nivo klasifikacije. Ovi skupovi mjera mogu se opisati kao procedure, na primjer „Procedura za rukovanje medijima podataka koji sadrže lične podatke“. SLA može definirati skupove sigurnosnih mjera za svaki nivo klasifikacije. Sistem klasifikacije uvijek mora biti kompatibilan sa strukturom organizacije korisnika. Međutim, kako bi se pojednostavilo upravljanje, preporučuje se korištenje jednog zajednički sistem klasifikaciju, čak i ako IT organizacija ima više klijenata.

Iz navedenog možemo zaključiti da je klasifikacija ključna tačka. Svaka stavka konfiguracije u bazi podataka konfiguracije (CMDB) mora biti klasifikovana. Ova klasifikacija povezuje stavku konfiguracije s odgovarajućim skupom sigurnosnih kontrola ili procedurom.

Upravljanje incidentima

Upravljanje incidentima je važan proces za prijavljivanje prisustva sigurnosnih incidenata. Po svojoj prirodi, sigurnosni incidenti se mogu rješavati korištenjem drugačijeg procesa od ostalih incidenata. Stoga je važno da Proces upravljanja incidentima prepozna sigurnosne incidente kao takve. Svaki incident koji bi mogao ometati ispunjavanje sigurnosnih zahtjeva SLA klasificira se kao sigurnosni incident. Bilo bi korisno uključiti u SLA definiciju vrsta incidenata koji se smatraju sigurnosnim incidentima. Svaki incident koji sprečava postizanje osnovnog unutrašnjeg nivoa bezbednosti se takođe uvek klasifikuje kao bezbednosni incident.

Incidenti se ne prijavljuju samo od korisnika, već i iz različitih procesa upravljanja, moguće na osnovu alarma ili podataka revizije sistema. Imperativ je da Proces upravljanja incidentima prepozna sve sigurnosne incidente. Ovo je potrebno za pokretanje odgovarajućih procedura za rješavanje ovakvih incidenata. Preporučuje se da planovi uključuju procedure za različite vrste sigurnosnih incidenata i da ih testiraju u praksi. Preporučuje se i dogovor oko procedure za prijavu sigurnosnih incidenata. Često nastaje panika zbog pretjerano naduvanih glasina. Isto tako, neblagovremeno prijavljivanje sigurnosnih incidenata često dovodi do štete. Preporučljivo je da se sve eksterne komunikacije u vezi sa sigurnosnim incidentima usmjeravaju kroz Upravljač procesa upravljanja sigurnošću informacija.

Upravljanje problemima

Proces upravljanja problemima odgovoran je za identifikaciju i rješavanje strukturalnih sigurnosnih grešaka. Problem također može stvoriti sigurnosni rizik. U ovom slučaju, Upravljanje problemima mora dovesti u pomoć Proces upravljanja sigurnošću informacija. Kako bi se osiguralo da se ne pojave novi sigurnosni problemi, konačno rješenje ili usvojeno rješenje mora biti potvrđeno. Ova provjera treba da se zasniva na usklađenosti predloženih rješenja sa zahtjevima SLA sporazuma i zahtjevima interne sigurnosti.

Upravljanje promjenama

Tipovi posla koji se obavljaju kao dio procesa upravljanja promjenama često su usko povezani sa sigurnošću, budući da su upravljanje promjenama i upravljanje sigurnošću informacija međusobno zavisni. Ako je postignut prihvatljiv nivo sigurnosti i pod kontrolom je procesa upravljanja promjenama, onda se može osigurati da će se ovaj nivo sigurnosti i dalje održavati nakon što se promjena dogodi. Za podršku ovom nivou sigurnosti postoji nekoliko standardne operacije. Svaki zahtjev za promjenom (RFC) povezan je s nizom parametara koji definiraju proceduru prihvatanja. Parametri hitnosti i uticaja mogu biti dopunjeni parametrom koji se odnosi na sigurnost. Ako je vjerovatno da će zahtjev za promjenom (RFC) imati značajan uticaj na sigurnost informacija, biće potrebno opsežno testiranje prihvatljivosti i procedure.

Zahtjev za promjenu (RFC) također mora uključivati ​​prijedloge za rješavanje sigurnosnih pitanja. Oni bi opet trebali biti zasnovani na SLA zahtjevima i osnovnom unutrašnjem nivou sigurnosti koji zahtijeva IT organizacija. Shodno tome, ovi prijedlozi će uključivati ​​skup sigurnosnih mjera zasnovanih na Standardima prakse upravljanja sigurnošću informacija.

Preporučljivo je da menadžer procesa upravljanja sigurnošću informacija (i eventualno službenik za sigurnost klijenta) bude član Savjetodavnog odbora za promjene (CAB).

Međutim, to ne znači da se sve promjene moraju konsultovati sa menadžerom procesa upravljanja sigurnošću informacija. U normalnoj situaciji, sigurnost bi trebala biti integrirana u normalan način rada. Vođa procesa upravljanja promjenama mora biti u mogućnosti da odluči da li on ili CAB zahtijevaju unos od voditelja procesa upravljanja sigurnošću informacija. Slično, Menadžer procesa upravljanja sigurnošću informacija ne mora nužno biti uključen u odabir kontrola za specifične stavke konfiguracije na koje utiče zahtjev za promjenom (RFC), budući da bi strukturirani pristup već trebao postojati za odgovarajuće kontrole. Pitanja se mogu pojaviti samo u vezi sa načinom sprovođenja ovih mjera.

Sve sigurnosne mjere povezane s promjenama moraju se implementirati istovremeno sa samim promjenama i moraju se zajedno testirati. Sigurnosni testovi se razlikuju od redovnih funkcionalnih testova. Svrha konvencionalnih testova je da se utvrdi dostupnost određenih funkcija. Sigurnosno testiranje ne provjerava samo dostupnost sigurnosnih funkcija, već i odsustvo drugih, nepoželjnih karakteristika koje bi mogle umanjiti sigurnost sistema.

Sa sigurnosne perspektive, upravljanje promjenama je jedno od najvažnijih važnih procesa. To je zato što Upravljanje promjenama uvodi nove sigurnosne mjere u IT infrastrukturu zajedno sa promjenama u toj infrastrukturi.

Upravljanje izdanjima

Proces upravljanja izdanjima kontroliše i primenjuje sve nove verzije softvera, hardvera, opreme za prenos podataka, itd. Ovaj proces osigurava da:

Koriste se odgovarajući hardver i softver;

Hardver i softver se testiraju prije upotrebe;

Implementacija je propisno odobrena kroz proceduru promjene;

Softver je legalan;

Softver ne sadrži viruse i virusi se neće uvesti distribucijom Softvera;

Brojevi verzija su poznati i evidentirani u CMDB od strane Procesa upravljanja konfiguracijom;

Upravljanje implementacijom će biti efikasno.

Ovaj proces takođe koristi normalnu proceduru prihvatanja, koja treba da pokrije aspekte bezbednosti informacija. Razmatranje sigurnosnih aspekata tokom testiranja i prihvatanja je posebno važno. To znači da se zahtjevi i sigurnosne mjere definirane u SLA moraju uvijek poštovati.

Upravljanje nivoom usluge

Proces upravljanja nivoom usluge osigurava da su dogovori o uslugama koje se pružaju korisnicima definisani i implementirani. Ugovori o nivou usluge također moraju uzeti u obzir sigurnosne mjere. Svrha ovoga je optimizacija nivoa pruženih usluga. Upravljanje nivoom usluge uključuje brojne aktivnosti vezane za sigurnost u kojima upravljanje sigurnošću informacija igra važnu ulogu:

1. Utvrđivanje sigurnosnih potreba korisnika. Naravno, odgovornost korisnika je da odredi bezbednosne potrebe, jer se te potrebe zasnivaju na njihovim interesima.

2. Provjera izvodljivosti sigurnosnih zahtjeva kupaca.

3. Prijedlog, rasprava i određivanje nivoa sigurnosti IT usluga u SLA.

4. Identifikacija, razvoj i formulacija internih sigurnosnih zahtjeva za IT usluge (Operational Service Level Agreements - OLA).

5. Praćenje sigurnosnih standarda (OLA).

6. Izrada izvještaja o pruženim uslugama.

Upravljanje bezbednošću informacija obezbeđuje Upravljanje nivoom usluge sa ulaznim podacima i podrškom za aktivnosti 1 do 3. Aktivnosti 4 i 5 sprovodi Menadžment bezbednosti informacija. Za aktivnost 6, Upravljanje sigurnošću informacija i drugi procesi pružaju potrebne ulazne informacije. Rukovodioci Procesa upravljanja nivoom usluge i upravljanja sigurnošću informacija, nakon međusobnih konsultacija, odlučuju ko je zapravo uključen u izvođenje ovih operacija. Kada se piše SLA, obično se pretpostavlja da postoji zajednički osnovni nivo sigurnosti. Dodatni sigurnosni zahtjevi korisnika trebaju biti jasno definirani u SLA

Upravljanje dostupnošću

Proces upravljanja dostupnošću razmatra tehničku dostupnost IT komponenti u odnosu na dostupnost usluge. Kvalitet dostupnosti je određen kontinuitetom, održivošću i održivošću. Budući da mnoge sigurnosne kontrole imaju pozitivan uticaj i na dostupnost i na aspekte sigurnosti i povjerljivost i integritet, koordinacija kontrola između upravljanja dostupnošću, upravljanja kontinuitetom IT usluga i procesa upravljanja sigurnošću informacija je od suštinskog značaja.

Upravljanje kapacitetima

Proces upravljanja kapacitetima je odgovoran za najbolja upotreba IT resursi u skladu sa dogovorom sa kupcem. Zahtjevi učinka su zasnovani na kvantitativnim i kvalitativnim standardima definiranim od strane upravljanja nivoom usluga. Gotovo sve aktivnosti Procesa upravljanja kapacitetima utiču na dostupnost, a samim tim i na Proces upravljanja sigurnošću informacija.

Upravljanje kontinuitetom IT usluga

Proces upravljanja kontinuitetom IT usluga osigurava da je uticaj svih nepredviđenih okolnosti ograničen na nivo dogovoren sa korisnikom. Vanredne okolnosti ne moraju se pretvoriti u katastrofu. Glavne aktivnosti su definisanje, održavanje, implementacija i testiranje plana podrške kontinuirani rad i obnavljanje funkcionisanja, kao i prihvatanje preventivne mjere. Zbog prisustva sigurnosnih aspekata u ovim vrstama posla, postoji veza sa Procesom upravljanja sigurnošću informacija. S druge strane, neispunjavanje osnovnih sigurnosnih zahtjeva može se smatrati hitnim slučajem.

15.3.2. Odjeljak za sigurnost Ugovora o nivou usluge

Ugovor o razini usluge (SLA) definira ugovor s korisnikom. Proces upravljanja nivoom usluge odgovoran je za SLA (vidi također Poglavlje 10). SLA je glavna pokretačka snaga svih ITIL procesa.

IT organizacija određuje stepen do kojeg su ispunjeni SLA zahtjevi, uključujući sigurnosne zahtjeve. Sigurnosni elementi definirani u SLA moraju zadovoljiti relevantne potrebe korisnika. Kupac mora odrediti važnost svih poslovnih procesa (vidi sliku 15.3).

Rice. 15.3. Odnosi između procesa (izvor: OGC)

Ovi poslovni procesi zavise od IT usluga; a samim tim i iz IT organizacije. Klijent određuje bezbednosne zahteve (nema SLA zahteva za bezbednost informacija na slici 15.3) na osnovu analize rizika. Na sl. 15.4. pokazuje kako su definirani sigurnosni elementi SLA.

Rice. 15.4. Pisanje sigurnosnog odjeljka u SLA (izvor: OGC)

O sigurnosnim elementima se raspravlja između predstavnika korisnika i pružaoca usluga. Dobavljač usluga upoređuje zahtjeve za nivo usluge korisnika sa svojim Katalogom usluga, koji opisuje standardne sigurnosne kontrole (osnovni nivo sigurnosti). Kupac može postaviti dodatne zahtjeve.

Kupac i dobavljač upoređuju zahtjeve za nivo usluge sa katalogom usluga. Odjeljak o sigurnosti SLA može se baviti pitanjima kao što su cjelokupna politika sigurnosti informacija, lista ovlaštenog osoblja, procedure zaštite resursa, ograničenja kopiranja podataka itd.

15.3.3. Sigurnosni odjeljak Ugovora o nivou operativne usluge (OLA)

Još jedan važan dokument je Ugovor o nivou operativne usluge. Opisuje usluge koje pruža interni provajder usluga. Dobavljač mora povezati ove aranžmane sa odgovornostima koje postoje unutar organizacije. Katalog usluga pruža njihov opšti opis. Ugovor o nivou operativne usluge prevodi ove opšte opise u specifične definicije svih usluga i njihovih komponenti, kao i način na koji se sporazumi o nivou usluge implementiraju unutar organizacije.

Primjer. Katalog usluga navodi „upravljanje autorizacijom za korisnike i pojedince“. Ugovor o nivou operativne usluge to navodi za sve specifične usluge koje pruža IT organizacija. Tako je realizacija aktivnosti određena za jedinice koje pružaju usluge UNIX, VMS, NT, Oracle itd.

Gdje je moguće, zahtjevi za nivo usluge korisnika određuju se pozivanjem na Katalog usluga, a po potrebi se sklapaju dodatni ugovori. Takve dodatne mjere povećavaju nivo sigurnosti u odnosu na standard.

Prilikom sastavljanja SLA ugovora potrebno je dogovoriti se sa Upravljanjem sigurnošću informacija o izmjerenim ključnim pokazateljima učinka (KPI) i kriterijima. Indikatori učinka trebaju biti mjerljivi parametri (metrika), a kriteriji učinka trebaju biti postavljeni na dostižan nivo. U nekim slučajevima može biti teško postići dogovor o mjerljivim sigurnosnim parametrima. Lakše ih je definirati za dostupnost usluge, koja se može izraziti numerički. Međutim, to je mnogo teže učiniti zbog integriteta i povjerljivosti. Stoga, sigurnosni dio SLA obično opisuje potrebne kontrole apstraktnim jezikom. Prakse upravljanja sigurnošću informacija koriste se kao osnovni skup sigurnosnih mjera. SLA također opisuje metodu za određivanje performansi. IT organizacija (pružalac usluga) mora davati redovne izvještaje korisničkoj organizaciji (kupcu).

15.4. Aktivnosti

15.4.1. Kontrola – politika i organizacija informacione sigurnosti

Kontrola informacione sigurnosti, predstavljena u sredini slike 15.1, je prvi podproces upravljanja bezbednošću informacija, a odnosi se na organizaciju i kontrolu procesa. Ova aktivnost uključuje strukturirani pristup Upravljanju sigurnošću informacija koji opisuje sljedeće podprocese: formulisanje sigurnosnih planova, njihovu implementaciju, evaluaciju implementacije i uključivanje evaluacije u godišnje planove sigurnosti (akcione planove). Takođe opisuje izvještaje koji se dostavljaju korisniku kroz proces upravljanja nivoom usluge.

Ova aktivnost definira podprocese, sigurnosne funkcije, uloge i odgovornosti. Takođe opisuje organizacionu strukturu, sistem izveštavanja i kontrolne tokove (ko kome daje uputstva, ko šta radi, kako se izveštava o učinku). U okviru ove vrste aktivnosti sprovode se sljedeće mjere iz zbirke praktičnih preporuka za upravljanje bezbednošću informacija.

Interna pravila djela (politika) :

Izrada i implementacija internih pravila rada (politika), povezivanje sa drugim pravilima;

Ciljevi, opći principi i značaj;

Opis podprocesa;

Raspodjela funkcija i odgovornosti među podprocesima;

Linkovi na druge ITIL procese i njihovo upravljanje;

Opća odgovornost osoblja;

Rukovanje sigurnosnim incidentima.

Organizacija informacione sigurnosti:

Blok dijagram upravljanja;

Upravljačka struktura (organizacijska struktura);

Detaljnija raspodjela odgovornosti;

Uspostavljanje Upravnog odbora za sigurnost informacija;

Koordinacija sigurnosti informacija;

Koordinacija alata(npr. za analizu rizika i podizanje svijesti);

Konzultacije stručnjaka;

Saradnja između organizacija, interna i eksterna interakcija;

Nezavisna revizija informacionih sistema;

Sigurnosni principi za pristup informacijama trećih strana;

Sigurnost informacija u ugovorima sa trećim licima.

15.4.2. Planiranje

Potproces planiranja svodi se na definiranje sadržaja sigurnosnog dijela SLA-a uz učešće Procesa upravljanja nivoom usluge i opisivanje aktivnosti vezanih za sigurnost koje se provode u okviru eksternih sporazuma. Zadaci koji su definisani u SLA sporazumu uopšteno govoreći, su detaljni i specificirani u obliku Ugovora o nivou operativne usluge (OLA). OLA se može smatrati sigurnosnim planom za organizacijske strukture pružaoca usluga i kao poseban sigurnosni plan, na primjer, za svaku IT platformu, aplikaciju i mrežu.

Ulaz u podproces planiranja nisu samo odredbe SLA sporazuma, već i principi sigurnosne politike pružaoca usluga (iz kontrolnog potprocesa). Primjeri ovih principa su: “Svaki korisnik mora biti jedinstveno identificiran”; “Osnovni nivo sigurnosti je osiguran u svakom trenutku za sve kupce.”

Ugovori o nivou operativnih usluga (OLA) za sigurnost informacija (specifični sigurnosni planovi) se razvijaju i provode kroz uobičajene procedure. To znači da ako ove aktivnosti postanu neophodne u drugim procesima, onda je neophodna koordinacija sa tim procesima. Sve potrebne promjene na IT infrastrukturi se izvode od strane Procesa upravljanja promjenama koristeći ulazne informacije koje pruža Proces upravljanja sigurnošću informacija. Odgovoran za proces upravljanja promjenama je menadžer ovog procesa.

Podproces planiranja koordinira se s procesom upravljanja nivoom usluge kako bi se odredio sigurnosni dio SLA, ažurirao ga i osigurao usklađenost s njegovim odredbama. Menadžer procesa upravljanja nivoom usluge je odgovoran za ovu koordinaciju.

Sigurnosne zahtjeve treba definirati u SLA, ako je moguće u mjerljivim terminima. Sigurnosni dio SLA mora osigurati da se može provjeriti postizanje svih sigurnosnih zahtjeva i standarda korisnika.

15.4.3. Implementacija

Zadatak podprocesa implementacije (implementacije) je da provede sve aktivnosti definisane planovima. Ovaj podproces može biti podržan sljedećim kontrolna lista akcije.

Klasifikacija i upravljanje IT resursima:

Pružanje ulaznih podataka za podršku stavki konfiguracije (CI) u CMDB;

Klasificirajte IT resurse prema dogovorenim principima.

Sigurnost osoblja:

Poslovi i odgovornosti u opisu poslova;

Odabir osoblja;

Ugovori o povjerljivosti za osoblje;

Obuka;

Vodiči za osoblje o rješavanju sigurnosnih incidenata i otklanjanju uočenih sigurnosnih nedostataka;

Disciplinarna akcija;

Poboljšana svijest o sigurnosti.

Upravljanje sigurnošću:

Uvođenje vrsta odgovornosti i raspodjela odgovornosti;

Pisana uputstva za rad;

Interna pravila;

Sigurnosne mjere moraju obuhvatiti sve životni ciklus sistemi; Trebalo bi postojati sigurnosne smjernice za razvoj sistema, testiranje, prihvatanje, operativnu upotrebu, održavanje i stavljanje van pogona. operativno okruženje;

Odvajanje razvojnog i testnog okruženja od operativnog (radnog) okruženja;

Procedure rukovanja incidentima (sprovedene procesom upravljanja incidentima);

Upotreba alata za oporavak;

Pružanje inputa za proces upravljanja promjenama;

Sprovođenje mjera zaštite od virusa;

Implementirati tehnike upravljanja za računala, aplikacije, mreže i mrežne usluge;

Ispravno rukovanje i zaštita medija podataka.

Kontrole pristupa:

Implementacija politike pristupa i kontrole pristupa;

Podržava privilegije pristupa korisnika i aplikacija mrežama, mrežnim uslugama, računarima i aplikacijama;

Podrška za barijeru zaštita mreže(zaštitni zid, usluge pristupa putem telefonska linija, mostovi i ruteri);

15.4.4. Ocjena

Nezavisna procjena realizacije planiranih aktivnosti je neophodna. Ova procena je neophodna za određivanje efikasnosti, a zahtevaju je i kupci i treća lica. Rezultati potprocesa procjene mogu se koristiti za prilagođavanje mjera dogovorenih sa kupcem, kao i za njihovu implementaciju. Na osnovu rezultata procene, mogu se predložiti promene, u kom slučaju se formuliše Zahtev za promenu (RFC) i šalje Procesu upravljanja promenama.

Postoje tri vrste ocjenjivanja:

Samoocjenjivanje: vrši se prvenstveno od strane resornih odjela organizacije;

Interna revizija: vrše interni IT revizori;

Eksterna revizija: Sprovode eksterni IT revizori.

Za razliku od samoprocjene, reviziju ne provodi isto osoblje koje je uključeno u druge potprocese. Ovo je neophodno kako bi se osiguralo razdvajanje odgovornosti. Reviziju može izvršiti odjel interne revizije.

Procjena se također provodi kao odgovor na incidente.

Glavne aktivnosti su:

Pregled usklađenosti sa sigurnosnim politikama i implementacija sigurnosnih planova;

Provođenje sigurnosne revizije IT sustava;

Identificiranje i poduzimanje mjera protiv neprikladnog korištenja IT resursa;

Provjera sigurnosnih aspekata u drugim vrstama IT revizija.

15.4.5. Podrška

Zbog promjena rizika uslijed promjena u IT infrastrukturi, u kompaniji i poslovnim procesima, potrebno je osigurati odgovarajuću podršku mjerama sigurnosti. Sigurnosna podrška uključuje podršku za relevantne sigurnosne dijelove SLA-a i podršku za detaljni planovi o sigurnosti (na nivou ugovora o nivou operativnih usluga).

Održavanje efikasnog funkcionisanja sistema bezbednosti vrši se na osnovu rezultata potprocesa Procene i analize promena rizika. Prijedlozi se mogu implementirati ili kao dio potprocesa planiranja ili kao dio održavanja cjelokupnog SLA. U svakom slučaju, dati prijedlozi mogu dovesti do uključivanja dodatnih inicijativa u godišnji plan sigurnosti. Sve promjene podliježu normalnom procesu upravljanja promjenama.

15.4.6. Izrada izveštaja

Izvještavanje je aktivnost koja pruža informacije iz drugih podprocesa. Izvještaji se generiraju kako bi se pružile informacije o postignutim sigurnosnim performansama i kako bi se korisnici informirali o sigurnosnim pitanjima. Pitanja u vezi sa dostavljanjem izvještaja obično se dogovaraju sa kupcem.

Izvještavanje je važno i za kupca i za pružaoca usluga. Kupci moraju imati tačne informacije o efikasnosti rada (npr. u sprovođenju mera bezbednosti) io preduzetim bezbednosnim merama. Kupac je također obaviješten o svim sigurnosnim incidentima. Prijedlozi za prijavu su dati u nastavku.

Primjeri redovnih izvještaja i događaja uključenih u njih:

Podproces planiranja:

Izvještava o stepenu usklađenosti sa SLA sporazumom i usaglašenim ključnim indikatorima kvaliteta po pitanjima sigurnosti;

Izvještaji o vanjskim ugovorima i srodnim pitanjima;

Izvještaji o ugovorima o nivou operativne usluge (planovi interne sigurnosti) i vlastite sigurnosne politike dobavljača (npr. osnovni nivo sigurnosti);

Izvještaji o godišnjim planovima sigurnosti i akcionim planovima.

Podproces implementacije:

Izvještaji o stanju u informacionoj sigurnosti. To uključuje izvještaj o realizaciji godišnjeg plana bezbjednosti, spisak mjera sprovedenih ili planiranih, informacije o obuci, rezultate dodatne analize rizika itd.;

Spisak bezbednosnih incidenata i odgovora, eventualno u poređenju sa prethodnim izveštajnim periodom;

Identifikacija trendova incidenata;

Status programa za obavještavanje.

Podproces evaluacije:

Izvještaji o djelotvornosti potprocesa;

Rezultati revizija, analiza i internih procjena;

Upozorenja, identifikacija novih prijetnji.

Specijalni izvještaji:

Da bi prijavio sigurnosne incidente definisane u SLA, dobavljač usluga bi trebao imati direktan kanal komunikacije sa predstavnikom korisnika (moguće službenikom za sigurnost informacija u preduzeću) preko menadžera procesa upravljanja nivoom usluge, upravljanja incidentima ili upravljanja sigurnošću informacija. Procedura za komunikaciju sa posebnim slučajevima. Osim u posebnim okolnostima, izvještaji se podnose kroz proces upravljanja nivoom usluge.

15.5. Kontrola procesa

15.5.1. Kritični faktori uspjeha i ključni indikatori efikasnost

Kritični faktori uspjeha su:

Potpuno razumijevanje potrebe za procesom od strane menadžmenta i njegovog uključivanja u proces;

Uključivanje korisnika u razvoj procesa;

Precizna definicija i podjela odgovornosti.

Pokazatelji učinka Procesa upravljanja sigurnošću informacija odgovaraju istim pokazateljima Procesa upravljanja nivoom usluge u onoj mjeri u kojoj su potonji povezani sa sigurnosnim pitanjima koja se rješavaju u SLA.

15.5.2. Funkcije i uloge

U malim IT organizacijama, jedna osoba može upravljati više procesa. U velikim organizacijama, nekoliko ljudi radi na jednom procesu, kao što je upravljanje sigurnošću informacija. U takvim slučajevima obično se imenuje jedan menadžer procesa upravljanja sigurnošću informacija. Ovaj menadžer je odgovoran za efikasno funkcionisanje procesa. Njegov kolega u organizaciji korisnika je inspektor za informatičku sigurnost.

15.6. Problemi i troškovi

15.6.1. Problemi

Sljedeći aspekti su ključni za uspješnu implementaciju procesa upravljanja sigurnošću informacija:

Razumijevanje potrebe za procesom (razumijevanje od strane učesnika): sigurnosne mjere rijetko nailaze na brzo pozitivno razumijevanje osoblja; otpor je češći od odobravanja. Korisnici zamjeraju gubitak određenih privilegija zbog uvođenja sigurnosnih mjera, čak i ako ove karakteristike nisu bitne za njihov rad. To je zato što im privilegije daju određeni status. Stoga je potreban poseban rad na motivisanju korisnika i dobijanju saglasnosti menadžmenta za uvođenje sigurnosnih mjera. Posebno u oblasti upravljanja sigurnošću informacija, menadžment mora voditi primjerom („razjasniti kurs“ i „voditi“). U nedostatku sigurnosnih incidenata, menadžment može biti u iskušenju da smanji troškove upravljanja sigurnošću.

Stav: Informacijski sistemi nisu sigurni ne zbog svojih tehničkih nesavršenosti, već zbog grešaka u korištenju tehnologije. Obično ima veze sa ljudskim stavovima i ponašanjem. To znači da sigurnosne procedure moraju biti integrisane u rutinske operacije.

Svesnost: Svijest ili bolje rečeno komunikacija je ključni koncept. Ponekad postoji sukob interesa između komunikacije i sigurnosti: komunikacije utiru put, ali sigurnost stvara prepreke. To znači da implementacija sigurnosnih mjera zahtijeva korištenje svih sredstava komunikacije kako bi se osiguralo da korisnici usvoje potrebno ponašanje.

Verifikacija: Sigurnost mora biti provjerljiva i provjerljiva. Ovo se odnosi i na uvedene mjere i na razloge za njihovo uvođenje. Neophodno je biti u stanju osigurati da se prave odluke donose u odgovarajućim okolnostima. Na primjer, trebalo bi biti moguće provjeriti akreditive onih koji su donosili odluke.

Upravljanje promjenama: Često kada se izvrše promjene, kvalitet procjene usklađenosti sa osnovnim nivoom sigurnosti je oslabljen.

Ambicija: Kada organizacija želi da uradi sve odjednom, često dolazi do grešaka. Ako se uvede proces upravljanja sigurnošću informacija, implementacija tehničke mjere mnogo manje važni u odnosu na organizacione mjere. Promjena organizacije zahtijeva korak po korak pristup i korake dugo vrijeme.

Nedostatak sistema za detekciju: Novi sistemi kao što je Internet nisu dizajnirani za sigurnost i potrebu za otkrivanjem hakovanja. Razlog je taj što razvoj sigurnog sistema traje duže od neosiguranog i u suprotnosti je s poslovnim zahtjevima za niskim troškovima razvoja i vremenom izlaska na tržište.

Prevelike nade u tehnologiju "neosvojive tvrđave".: Prijetnje sigurnosti sistema sve više se pojavljuju na nepredvidivim mjestima. Uporedite prve napade virusa ILOVEYOU i Nimda sa prvim primjerom napada uskraćivanja usluge (DoS). Dok zaštita informacija korištenjem tradicionalnog pristupa "neosvojive tvrđave" ostaje važna, pristup "protunapada" također dobija na značaju kada dođe do kršenja sigurnosti. Organizacija mora biti u mogućnosti da brzo usmjeri resurse na lokaciju kvara prije nego što može izmaknuti kontroli.

15.6.2. Troškovi

Zaštita vaše IT infrastrukture zahtijeva osoblje, a time i novac za implementaciju, održavanje i pregled sigurnosnih mjera. Međutim, neuspeh zaštite IT infrastrukture takođe košta (trošak neproizvedene robe; troškovi zamene; oštećenje podataka, softvera ili hardvera; gubitak ugleda; novčane kazne ili nadoknada za neispunjavanje ugovornih obaveza). Kao i uvijek, mora postojati balans.

napomene:

Termin "Upravljanje IT uslugama", s jedne strane, koristi se kao sinonim za pojam "Upravljanje IT uslugama", ali ga, s druge strane, pojačava, što znači centralizirani pristup upravljanju cjelokupnom IT organizacijom kao moderna uslužna jedinica koja ima za cilj pružanje usluga poslovne jedinice koje su sastavni dio proizvodnog procesa.

Zahtjev za promjenu - RFC.

Management Framework.

Upravni odbor za sigurnost informacija.