Opće vodstvo sigurnost informacija u Banci provodi predsjednik Uprave Banke na temelju zadaća prikazanih u Konceptu, načela organizacije i funkcioniranja sustava informacijske sigurnosti te glavnih prijetnji.

Određena su sljedeća područja djelovanja Banke u upravljanju informacijskom sigurnošću:

• - organizacija upravljanja informacijskom sigurnošću u automatizirani sustavi i mreže;
• - organizacija zaštite govorne informacije;
• - odredba fizička zaštita Objekti banke u kojima se obrađuju i pohranjuju podaci koji predstavljaju poslovnu tajnu;
• - sudjelovanje u organizaciji općeg poslovnog dokumenta;
• - organizacija i zaštita prometa povjerljivi dokumenti.

Upravljanje sigurnosnim mjerama, uspostavljanje korisničkih prava i kontrola moraju se provoditi centralno, uzimajući u obzir osobitosti obrade i prijenosa informacija u određenim sustavima i dijelovima mreže. Poslove osiguranja informacijske sigurnosti u sustavima i mrežama neposredno provode:

• - Odjel informacijske sigurnosti;
• - administratori sustava i mreže;
• - osobe odgovorne za informacijsku sigurnost u sektorima Banke;
• - Režimski odjel Uprave za gospodarsku sigurnost.

Osnova je odjel informacijske sigurnosti centralizirano upravljanje te kontrolu informacijske sigurnosti u sustavima i mrežama Banke. Osnovna zadaća Odjela informacijske sigurnosti je organiziranje kontinuiranog, planskog i ciljanog rada na osiguranju informacijske sigurnosti i praćenje provedbe regulatornih akata banke o informacijskoj sigurnosti.

Zaposlenici Odjela informacijskih tehnologija Banke imenovani su sistemski i mrežni administratori, koji su odgovorni za osiguranje operativnosti sustava i mreža, provođenje Plana rada bez kvarova i oporavka sustava i mreža. Glavni zadaci administratora:

• 1. Izravno upravljanje sustavima i mrežama, nadzor integriteta sustava i mreža;
• 2. Osiguravanje nesmetanog rada i vraćanje funkcionalnosti sustava u slučaju kvarova i kvarova.

Za informacijsku sigurnost u odjelima odgovorni su zaposlenici strukturnih odjela Banke. Njihova glavna zadaća je praćenje primjene pravila rada u automatiziranim sustavima i mrežama banke od strane zaposlenika odjela.

Osnovna zadaća režimskih odjela podružnice u pogledu osiguranja informacijske sigurnosti je organiziranje i provođenje cjelokupnog niza mjera zaštite informacija u podružnici.

Organizaciju, planiranje i provedbu mjera zaštite govornih informacija provodi Odjel za gospodarsku sigurnost. Glavni ciljevi zaštite govornih informacija su:

• 1. Praćenje poštivanja procedura i pravila postupanja s povjerljivim informacijama od strane zaposlenika Banke i sprječavanje njihovog otkrivanja;
• 2. Otkrivanje i suzbijanje moguće kanale curenje govornih informacija;
• 3. Metodološke upute o zaštiti govornih informacija u sektorima Banke.

Opći nadzor nad zaštitom govornih informacija provodi Odjel za gospodarsku sigurnost.

Organizaciju i pružanje fizičke zaštite prostorija Banke (uključujući dodatne urede i poslovnice), u kojima se obrađuju i pohranjuju povjerljivi podaci, provodi Odjel ekonomske sigurnosti Banke. Glavni ciljevi fizičke zaštite su:

• 1. Organizacija zaštite zgrada, uredskih prostorija i susjednih prostora od mogućeg prodora i zadiranja izvana neovlaštene osobe i isključujući njihovu moguću krađu, iskrivljavanje i uništavanje povjerljivih informacija;
• 2. Osiguravanje pridržavanja zaposlenika i posjetitelja Banke reda i pravila prolaska i ponašanja na području Banke;
• 3. Fizička sigurnost nositelja materijala tijekom njihovog skladištenja i transporta.

Organizacija zaštite povjerljivih dokumenata u sektorima Banke povjerena je:

• - zamjenik predsjednika Uprave Banke - u nadziranim odjelima i odjelima;
• - Voditelji odjela (šefovi odsjeka) - u odjelima (odsjecima);
• - Voditelji odjela - u odjelima;
• - Voditelji poslovnica (direktori dopunskih ureda) - u podružnicama (dodatnim uredima).

Organizacija računovodstva materijalnih medija koji sadrže podatke koji predstavljaju poslovnu tajnu (povjerljivo uredsko poslovanje) povjereno je Administrativno-kadrovskom odjelu Banke i Odjelu ekonomske sigurnosti, u podružnicama (ispostavama) - zaposlenicima posebno određenim za te svrhe, imenovanim po nalogu za podružnicu (podružnicu).

Za evidentiranje i pohranjivanje lozinki i kriptografskih materijala kriptografskih alata koji se koriste u Banci, u okviru Odjela informacijske sigurnosti organiziran je samostalni dio povjerljivog uredskog poslovanja. Glavni ciljevi organiziranja sustava upravljanja povjerljivim zapisima su:

• - odabir i raspored osoblja u povjerljivom uredskom radnom prostoru;
• - organizaciju povjerljivog tijeka dokumenata u Banci;
• - provedba zatvorene korespondencije;
• - organizacija računovodstva i kontrole povjerljivih dokumenata;
• - organizaciju i provedbu sustava izdavanja dozvola izvođačima za rad s povjerljivim dokumentima.

Tekući nadzor nad ispunjavanjem zahtjeva za zaštitu podataka na materijalnim medijima dodijeljen je Odjelu ekonomske sigurnosti Banke.

Odgovornost

Odgovornost za otkrivanje podataka koji predstavljaju poslovnu tajnu Banke i gubitak dokumenata, proizvoda i magnetski mediji koji sadrži takve podatke utvrđuje se u skladu s trenutno zakonodavstvo Ruska Federacija.

Odgovornost za otkrivanje i gubitak podataka koji sadrže poslovnu tajnu osobno snosi svaki zaposlenik Banke koji ima pristup istima.

Promovirajte svijest zaposlenika

Bitan čimbenik u učinkovitoj provedbi ovih načela je komunikacijski ciklus aktivnosti, koji osigurava da upravljanje sigurnošću informacija bude stalno usmjereno na trenutne rizike. Važno je da vrhovni menadžment organizacije prepozna postojanje rizika poremećaja poslovnih procesa povezanih sa sigurnošću informacijskih sustava. Osnova za razvoj i implementaciju politika te odabir potrebnih kontrola je procjena rizika pojedinih poslovnih aplikacija. Poduzeti koraci povećat će svijest korisnika o rizicima i povezanim politikama. Učinkovitost kontrola predmet je evaluacije kroz različite studije i revizije. Rezultati daju pristup za naknadne procjene rizika i identificiraju potrebne promjene politika i kontrola. Sve te radnje centralno koordinira služba sigurnosti ili osoblje stručnjaka koje čine konzultanti, predstavnici poslovnih jedinica i rukovodstvo organizacije. Ciklus upravljanja rizikom ilustriran je na slici.

Metode implementacije programa informacijske sigurnosti

Sljedećih šesnaest metoda korištenih za provedbu pet načela upravljanja rizikom istaknuto je na sljedećoj ilustraciji. Ove tehnike su ključne za učinkovitu implementaciju programa informacijske sigurnosti organizacije.

Procijenite rizik i identificirajte potrebe

Procjena rizika je prvi korak u implementaciji programa informacijske sigurnosti. Sigurnost se ne promatra sama po sebi, već kao skup politika i povezanih kontrola dizajniranih za podršku poslovnim procesima i smanjenje povezanih rizika. Stoga je identificiranje poslovnih rizika povezanih s informacijskom sigurnošću početna točka ciklusa upravljanja rizikom (informacijskom sigurnošću).

Prepoznati informacijske resurse kao značajnu (integralnu) imovinu organizacije

Prepoznavanje rizika informacijske sigurnosti od strane menadžmenta organizacije, kao i skup mjera usmjerenih na prepoznavanje i upravljanje tim rizicima je važan faktor razvoj programa informacijske sigurnosti. Ovaj pristup upravljanju osigurat će da se informacijska sigurnost shvaća ozbiljno na nižim organizacijskim razinama organizacije i da stručnjaci za informacijsku sigurnost dobiju resurse potrebne za učinkovitu provedbu programa.

Razviti praktične postupke procjene rizika koji povezuju sigurnosne i poslovne zahtjeve

Postoje različite metodologije procjene rizika, od neformalne rasprave o riziku do poštene složene metode, uključujući korištenje specijaliziranih softver. Međutim, globalno iskustvo uspješnih postupaka upravljanja rizicima opisuje relativno jednostavan proces koji uključuje sudjelovanje različitih odjela financijskih organizacija uz uključivanje stručnjaka s poznavanjem poslovnih procesa, tehnički stručnjaci i specijalisti u području informacijske sigurnosti.

Vrijedno je naglasiti da razumijevanje rizika ne uključuje njihovo precizno kvantificiranje, uključujući vjerojatnost incidenta ili cijenu štete. Takvi podaci nisu dostupni jer se gubici možda neće otkriti i uprava možda neće biti obaviještena. Osim toga, ograničeni su podaci o punim troškovima popravka štete uzrokovane slabim sigurnosnim kontrolama, kao i operativnim troškovima tih kontrola. Zbog stalnih promjena u tehnologiji te softveru i alatima dostupnim napadačima upitna je uporaba statistike prikupljene prethodnih godina. Kao rezultat toga, teško je, ako ne i nemoguće, točno usporediti trošak kontrola s rizikom gubitka kako bi se odredilo koja je kontrola najisplativija. U svakom slučaju, voditelji poslovnih jedinica i stručnjaci za informacijsku sigurnost moraju se osloniti na najbolje informacije koje su im dostupne kada odlučuju o odgovarajućim kontrolama.

Odrediti odgovornosti za voditelje poslovnih jedinica i menadžere uključene u sigurnosni program

Voditelji poslovnih jedinica moraju snositi primarnu odgovornost za određivanje razine sigurnosti (povjerljivosti) informacijskih resursa koji podržavaju poslovne procese. Upravo su voditelji poslovnih jedinica u u najvećoj mjeri sposobni su odrediti koji je od informacijskih resursa najkritičniji, kao i mogući utjecaj na poslovanje u slučaju narušavanja njegovog integriteta, povjerljivosti ili dostupnosti. Osim toga, voditelji poslovnih jedinica mogu istaknuti kontrole (mehanizme) koje mogu štetiti poslovnim procesima. Dakle, njihovim uključivanjem u odabir kontrola može se osigurati da kontrole zadovoljavaju zahtjeve i da će biti uspješno implementirane.

Kontinuirano upravljati rizicima

Informacijska sigurnost zahtijeva stalnu pozornost kako bi se osiguralo da su kontrole primjerene i učinkovite. Kao što je ranije navedeno, suvremene informacijske i srodne tehnologije, kao i čimbenici vezani uz informacijsku sigurnost, neprestano se mijenjaju. Takvi čimbenici uključuju prijetnje, tehnologije i konfiguracije sustava, poznate ranjivosti softvera, razinu pouzdanosti automatiziranih sustava i elektroničkih podataka te kritičnost podataka i operacija.

Postavite centralizirano upravljanje

Upravljački tim djeluje prvenstveno kao savjetnik ili konzultant poslovnih jedinica i ne može nametati metode (alate) informacijske sigurnosti.

Odredite vodeći tim za ključne radnje

Općenito, vodeći tim trebao bi biti (1) katalizator (akcelerator) procesa, osiguravajući da se rizici informacijske sigurnosti kontinuirano rješavaju; (2) središnji savjetodavni resurs za organizacijske jedinice; (3) način priopćavanja informacija menadžmentu organizacije o stanju informacijske sigurnosti i poduzetim mjerama. Osim toga, vodeći tim omogućuje centralizirano upravljanje dodijeljenim zadacima, inače bi ti zadaci mogli biti duplicirani od strane raznih dijelova organizacije.

Omogućite rukovodećem timu jednostavan i neovisan pristup višem menadžmentu organizacije

Primjećujemo potrebu za raspravom o problemima informacijske sigurnosti od strane menadžera upravljačke grupe s najvišim menadžmentom organizacije. Takav će nam dijalog omogućiti učinkovito djelovanje i izbjegavanje nesuglasica. Inače moguće konfliktne situacije s voditeljima poslovnih jedinica i programerima sustava koji žele brzo implementirati nove softverski proizvodi, te stoga osporavaju korištenje kontrola koje mogu ometati učinkovitost i jednostavnost korištenja softvera. Stoga prilika za raspravu o pitanjima informacijske sigurnosti na najvišoj razini može osigurati da su rizici u potpunosti shvaćeni i tolerantni prije donošenja konačne odluke.

Odredite i rasporedite proračun i osoblje

Proračun će vam omogućiti planiranje i postavljanje ciljeva za vaš program informacijske sigurnosti. Proračun uključuje najmanje plaće zaposlenika i troškova obuke. Broj zaposlenih u rukovodećem timu (sigurnosnoj jedinici) može varirati i ovisi o postavljenim ciljevima i projektima koji se razmatraju. Kao što je ranije navedeno, u rad u grupi mogu biti uključeni i tehnički stručnjaci i zaposlenici poslovnih jedinica.

Povećati profesionalnost i tehničko znanje zaposlenika

Ljudi unutar organizacije moraju biti uključeni u različite aspekte programa informacijske sigurnosti i imati odgovarajuće vještine i znanja. Potrebna razina profesionalnosti zaposlenika može se postići edukacijom koju mogu provoditi kako organizacijski stručnjaci tako i vanjski konzultanti.

Provedite potrebne politike i odgovarajuće kontrole

Politike informacijske sigurnosti temelj su za donošenje određenih procedura i odabir kontrolnih (upravljačkih) sredstava (mehanizama). Politika je primarni mehanizam kojim menadžment komunicira svoje stavove i zahtjeve zaposlenicima, kupcima i poslovnim partnerima. Za informacijsku sigurnost, kao i za druga područja interne kontrole, zahtjevi politike izravno ovise o rezultatima procjene rizika.

Uspostavite odnos između politika i poslovnih rizika

Opsežan skup odgovarajućih politika koje su dostupne i razumljive korisnicima jedan je od prvih koraka u uspostavi programa informacijske sigurnosti. Vrijedno je istaknuti važnost kontinuirane podrške (prilagodbe) politika za pravovremeni odgovor na identificirane rizike i moguće nesuglasice.

Razlika između politika i smjernica

Opći pristup stvaranju politika informacijske sigurnosti trebao bi uključivati ​​(1) sažete politike visoke razine i (2) više detaljne informacije prikazani u praktičnim smjernicama i standardima. Politike daju osnovne i obvezne zahtjeve koje prihvaća viši menadžment. Dok smjernice za praksu nisu obvezne za sve poslovne jedinice. Ovaj pristup omogućuje vrhunskom menadžmentu da se fokusira na najviše važni elementi sigurnost informacija, kao i pružanje fleksibilnosti upraviteljima poslovnih jedinica i čine politike lakima za razumijevanje zaposlenicima.

Pobrinite se da politike podržava vodeći tim

Upravljački tim trebao bi biti odgovoran za razvoj politike informacijske sigurnosti organizacije u suradnji s voditeljima poslovnih jedinica, internim revizorima i pravnim savjetnicima. Osim toga, upravljačka skupina treba pružiti potrebna pojašnjenja i odgovore na pitanja korisnika. To će pomoći u rješavanju i sprječavanju nesporazuma, kao i prihvaćanju potrebne mjere, nije obuhvaćeno politikama (smjernicama).

Pravila bi trebala biti dostupna tako da korisnici mogu pristupiti najnovijim verzijama ako je potrebno. Korisnici moraju potpisati da su upoznati s pravilima prije nego što im se odobri pristup informacijskim resursima organizacije. Ako je korisnik uključen u sigurnosni incident, ovaj će ugovor poslužiti kao dokaz da je on ili ona obaviješten o politikama organizacije, kao io mogućim sankcijama u slučaju njihovog kršenja.

Promicanje svijesti

Stručnost korisnika je preduvjet za uspješnu informacijsku sigurnost, a također pomaže u osiguravanju pravilnog rada kontrola. Korisnici ne mogu slijediti politiku koju ne poznaju ili ne razumiju. Nesvjestan rizika povezanih s izvori informacija organizacije, možda ne vide potrebu za provedbom politika osmišljenih za smanjenje rizika.

Kontinuirana edukacija korisnika i ostalih zaposlenika o rizicima i povezanim politikama

Upravljački tim mora osigurati strategiju kontinuiranog usavršavanja zaposlenika koji na ovaj ili onaj način utječu na informacijsku sigurnost organizacije. Tim bi se trebao usredotočiti na zajedničko razumijevanje rizika povezanih s informacijama koje se obrađuju unutar organizacije te politike i kontrole za ublažavanje tih rizika.

Koristite prijateljski pristup

Upravljački tim trebao bi koristiti različite metode obuke i poticaja kako bi politike organizacije učinio dostupnima i educirao korisnike. Trebalo bi izbjegavati sastanke koji se održavaju jednom godišnje sa svim zaposlenicima organizacije, naprotiv, obuku je najbolje provoditi u malim skupinama zaposlenika.

Pratite i ocjenjujte učinkovitost politika i kontrola

Kao i svaka vrsta aktivnosti, informacijska sigurnost podliježe kontroli i povremenom ponovnom ocjenjivanju kako bi se osigurala primjerenost (usklađenost) politika i sredstava (metoda) kontrole s postavljenim ciljevima.

Pratiti čimbenike koji utječu na rizike i ukazuju na učinkovitost informacijske sigurnosti

Kontrola bi se prvenstveno trebala usredotočiti na (1) dostupnost kontrola i njihovu upotrebu za smanjenje rizika i (2) procjenu učinkovitosti programa i politika informacijske sigurnosti kako bi se poboljšalo razumijevanje korisnika i smanjili incidenti. Takve revizije uključuju testiranje kontrolnih sredstava (metoda), procjenu njihove usklađenosti s politikama organizacije, analizu sigurnosnih incidenata, kao i drugih pokazatelja učinkovitosti programa informacijske sigurnosti. Učinkovitost rukovodećeg tima može se procijeniti na temelju, na primjer, ali ne ograničavajući se na sljedeće:

• broj održanih treninga i sastanaka;
• broj dovršenih procjena rizika;
• broj certificiranih stručnjaka;
• nepostojanje incidenata koji kompliciraju rad zaposlenika organizacije;
• smanjenje broja novih projekata koji se provode s kašnjenjem zbog problema informacijske sigurnosti;
• puna usklađenost ili dogovorena i evidentirana odstupanja od minimalni zahtjevi sigurnost informacija;
• smanjenje broja incidenata koji dovode do neovlašten pristup, gubitak ili iskrivljavanje informacija.

Koristite nalaze za koordinaciju budućih napora i povećanje odgovornosti uprave

Kontrole svakako pomažu u usklađivanju organizacije s utvrđenim politikama informacijske sigurnosti, ali puna korist od kontrola neće se postići ako se rezultati ne iskoriste za poboljšanje programa informacijske sigurnosti. Pregled kontrole pruža stručnjacima za informacijsku sigurnost i poslovnim menadžerima sredstva za (1) ponovnu procjenu prethodno identificiranih rizika, (2) identifikaciju novih problematičnih područja, (3) ponovnu procjenu dostatnosti i prikladnosti postojećih kontrola i provedbenih radnji. Sigurnost informacija, (4 ) utvrđivanje potreba za novim sredstvima i kontrolnim mehanizmima, (5) preusmjeravanje kontrolnih napora (kontrolne akcije). Osim toga, rezultati se mogu koristiti za procjenu učinka poslovnih menadžera odgovornih za razumijevanje i ublažavanje rizika u poslovnim jedinicama.

Pratite nove metode i kontrole

Važno je osigurati da (1) stručnjaci za informacijsku sigurnost budu u toku s razvojem metoda i alata (aplikacija) i da imaju najviše najnovije informacije o ranjivosti informacijskih sustava i aplikacija, (2) top menadžment osigurava da za to ima potrebne resurse.

Prijatelji! Pozivamo vas na raspravu. Ako imate svoje mišljenje, napišite nam u komentarima.

Dobar dan dragi moji!
Dugo nisam pisao na Habru, nisam imao vremena, imao sam puno posla. Ali sad sam se rasteretio i smislio novi post.

Razgovarao sam s jednim od svojih suboraca koji je u jednoj organizaciji bio zadužen za rad na informacijskoj sigurnosti (drug sistem administrator) i tražio je da mi kaže odakle da počnem i kamo da idem. Malo sam posložio svoje misli i znanje i dao mu okvirni plan.
Nažalost, ova situacija je daleko od izolirane i događa se često. Poslodavci u pravilu žele i Švicarca i kosca i svirača na cijevi, a sve to za jednu cijenu. Na pitanje zašto se informacijska sigurnost ne bi klasificirala kao IT vratit ću se kasnije, no sada razmislimo odakle krenuti ako se to dogodi i upustite se u takvu avanturu, odnosno stvaranje sustava upravljanja informacijskom sigurnošću ( ISMS).

Analiza rizika

Gotovo sve u informacijskoj sigurnosti počinje analizom rizika; to je osnova i početak svih sigurnosnih procesa. Provest ću kratak edukacijski program u ovom području, jer mnogi pojmovi nisu očiti i najčešće se brkaju.
Dakle, postoje 3 glavna koncepta:

• Vjerojatnost provedbe
• Ranjivost

Rizik je mogućnost nastanka bilo kakvih gubitaka (monetarnih, reputacijskih itd.) zbog implementacije ranjivosti.
Vjerojatnost pojavljivanja je koliko je vjerojatno da će određena ranjivost biti iskorištena za realizaciju rizika.
Ranjivost je izravna praznina u vašem sigurnosnom sustavu, koja s određenom vjerojatnošću može uzrokovati štetu, odnosno realizirati rizik.

Postoje mnoge metode, različiti pristupi upravljanju rizikom, reći ću vam o osnovama, ostalo vam u početku neće trebati u razvoju ISMS-a.
Dakle, sav rad na upravljanju rizikom svodi se ili na smanjenje vjerojatnosti implementacije ili minimiziranje gubitaka od implementacije. Sukladno tome, rizici mogu, ali i ne moraju biti prihvatljivi za organizaciju. Prihvatljivost rizika najbolje se izražava konkretnim iznosima gubitaka od njegove provedbe (u svakom slučaju, čak i naizgled nematerijalni gubici reputacije u konačnici rezultiraju izgubljenom dobiti). Potrebno je s menadžmentom odlučiti koji će iznos biti prag prihvaćanja za njih i napraviti gradaciju (po mogućnosti 3-5 razina za gubitke). Zatim napravite gradaciju prema vjerojatnosti, kao i kod gubitaka, a zatim procijenite rizike na temelju zbroja tih pokazatelja.
Nakon pripremni rad, naglasite stvarne ranjivosti vaše organizacije i procijenite rizike njihove implementacije i gubitaka. Kao rezultat toga, dobit ćete 2 skupine rizika - prihvatljive i neprihvatljive. Kod prihvatljivih rizika jednostavno ih prihvaćate i nećete poduzimati aktivne korake da ih minimizirate (odnosno, prihvaćamo da će nas minimiziranje tih rizika stajati više od gubitaka od njih), a kod neprihvatljivih postoje 2 mogućnosti razvoja događaja.

Minimizirati - smanjiti vjerojatnost pojave, smanjiti moguće gubitke ili općenito poduzeti mjere za uklanjanje rizika (zatvaranje ranjivosti).
Prijenos - jednostavno prenesite brigu o riziku na drugu osobu, na primjer, osigurajte organizaciju od rizičnih pojava ili prenesite rizičnu imovinu (na primjer, premjestite poslužitelje u podatkovni centar, tako neprekidni izvor napajanja a fizička sigurnost poslužitelja bit će odgovornost podatkovnog centra).

Skala

Prije svega, naravno, potrebno je procijeniti razmjere katastrofe. Neću se doticati pitanja zaštite osobnih podataka, već postoji puno članaka o ovoj temi, postoje praktične preporuke i algoritmi djelovanja opisani više puta.
Dopustite mi da vas također podsjetim da se informacijska sigurnost prvenstveno odnosi na ljude, stoga je potrebna regulatorna dokumentacija. Da biste ga napisali, prvo morate razumjeti što tamo napisati.
U tom smislu postoje 3 glavna dokumenta za informacijsku sigurnost:

Politika informacijske sigurnosti

Vaš glavni dokument, priručnik, Biblija i drugi veliki naslovi. Opisuje sve postupke zaštite informacija i opisuje razinu sigurnosti koju slijedite u svojoj organizaciji. Tako reći - idealan sigurnosni profil, dokumentiran i prihvaćen po svim pravilima.
Politika ne smije biti mrtvi teret, dokument treba živjeti, treba se mijenjati pod utjecajem novih prijetnji, trendova u informacijskoj sigurnosti ili želja. U tom smislu, politiku (kao, u načelu, svaki postupovni dokument) treba redovito preispitivati ​​radi relevantnosti. Bolje je to učiniti barem jednom godišnje.

Koncept informacijske sigurnosti

Mali izvadak iz politike koji opisuje osnovnu sigurnost vaše organizacije; nema posebnih procesa, ali postoje načela za izgradnju ISMS-a i načela za stvaranje sigurnosti.
Ovaj dokument je više slikovni dokument; ne bi trebao sadržavati nikakve "osjetljive" informacije i trebao bi biti otvoren i dostupan svima. Postavite ga na svoju web stranicu, stavite ga u pladanj na informativnom stalku kako bi se vaši klijenti i posjetitelji mogli upoznati s njim ili jednostavno vidjeti da vam je stalo do sigurnosti i spremni ste to pokazati.

Pravilnik o poslovnoj tajni ( povjerljive informacije)

U zagradama je naveden alternativni naziv za takav dokument. Uglavnom, kom. tajna je poseban slučaj povjerljivo, ali ima vrlo malo razlika.
Ovaj dokument mora naznačiti sljedeće: kako i gdje se pohranjuju dokumenti koji čine kom. tajna, tko je odgovoran za čuvanje tih dokumenata, kako bi trebao izgledati predložak dokumenta koji sadrži takve podatke, koja će biti kazna za otkrivanje povjerljivih podataka (prema zakonu i prema internim dogovorima s upravom). I naravno, popis informacija koje predstavljaju poslovnu tajnu ili su povjerljive za vašu organizaciju.
Prema zakonu, bez poduzetih mjera za zaštitu povjerljivih informacija, kao da ih nemate :-) Odnosno, sama informacija kao da postoji, ali ne može biti povjerljiva. Zanimljivo je i to da se u 90% organizacija s novim zaposlenicima potpisuje ugovor o tajnosti podataka, no malo ih je poduzelo zakonske mjere. Maksimalan popis informacija.

Revizija

Da biste napisali ove dokumente, ili točnije, da biste razumjeli što bi trebalo biti u njima, morate provesti reviziju Trenutna država IB. Jasno je da ovisno o aktivnostima organizacije, teritorijalnoj distribuciji itd., postoji mnogo nijansi i čimbenika za svaku pojedinu organizaciju, ali postoji nekoliko glavnih točaka koje su svima zajedničke.

Politika pristupa

Ovdje postoje 2 grane - ovo su fizički pristup prostorima i pristupu informacijskim sustavima.

Fizički pristup

Opišite svoj sustav kontrole pristupa. Kako i kada se izdaju pristupne kartice, tko određuje tko ima pristup kojim prostorima (pod uvjetom da su prostori opremljeni sustavom kontrole pristupa). Ovdje vrijedi spomenuti i sustav videonadzora, principe njegove izgradnje (bez mrtvih kutova u nadziranim prostorijama, obavezna kontrola ulaza i izlaza u/iz zgrade, kontrola ulaza u server sobu i dr.). Također, ne zaboravite na posjetitelje, ako nemate opći prijemni prostor (a čak i ako ga imate), vrijedi naznačiti kako posjetitelji ulaze u kontrolirani prostor (privremene propusnice, osoba u pratnji).
Za poslužiteljsku sobu također treba postojati zasebna pristupna lista s dnevnikom posjeta (lakše je ako poslužiteljska soba ima instaliran sustav kontrole pristupa i sve se održava automatski).

Pristup informacijskim sustavima

Opišite postupak za odobravanje pristupa, ako se koristi provjera autentičnosti s više faktora, zatim izdavanje dodatnih identifikatora. Politika lozinki (datum isteka lozinke, složenost, broj pokušaja prijave, vrijeme blokiranja računa nakon prekoračenja broja pokušaja) za sve sustave kojima je pristup odobren, ako nemate svugdje Single Log On.

Izgradnja mreže

Gdje se nalaze poslužitelji koji imaju vanjski pristup (DMZ), kako im se pristupa iznutra i izvana. Segmentacija mreže i kako se ona postiže. Vatrozidi, koje segmente štite (ako ih ima unutar mreže između segmenata).

Udaljeni pristup

Kako je organiziran i tko ima pristup. Idealno bi bilo ovako: samo VPN, pristup samo u dogovoru s višim menadžmentom i uz obrazloženje potrebe. Ako treća strana treba pristup (prodavači, servisno osoblje, itd.), tada je pristup vremenski ograničen, odnosno račun se izdaje na određeno razdoblje, nakon čega se automatski blokira. Naravno, kada daljinski pristup U svakom slučaju, prava moraju biti ograničena na minimum.

Incidenti

Kako se obrađuju, tko je odgovoran i kako su strukturirani proces upravljanja incidentima i problemi upravljanja (ako ih ima, naravno). Već sam imao post o radu s incidentima: možete pročitati više.
Također je potrebno utvrditi trendove u vašoj organizaciji. Odnosno, koji se incidenti češće događaju, koji uzrokuju više štete (prekid rada, izravan gubitak imovine ili novca, šteta po ugledu). To će pomoći u kontroli i analizi rizika.

Imovina

U u ovom slučaju Imovina je sve što zahtijeva zaštitu. To jest, poslužitelji, informacije na papiru ili prijenosnim medijima, tvrdih diskova računala itd. Ako bilo koja imovina sadrži "osjetljive" podatke, mora biti odgovarajuće označena i mora postojati popis dopuštenih i zabranjenih radnji s tom imovinom, kao što je prijenos trećim stranama, prijenos e-pošta unutar organizacije, objavljivanje u javni pristup unutar organizacije itd.

Obrazovanje

Trenutak koji mnogi zaborave. Zaposlenike je potrebno upoznati sa sigurnosnim mjerama. Nije dovoljno upoznati se s uputama i pravilima i potpisati ih, 90% ih neće pročitati, nego će ih jednostavno potpisati da ih se riješi. Također sam napravio publikaciju o treningu: Sadrži glavne točke koje su važne tijekom treninga i koje ne treba zaboraviti. Osim same edukacije ovakvi događaji korisni su iu smislu komunikacije između zaposlenika i zaštitara ( predivno ime, Stvarno mi se sviđa :-). Možete saznati neke manje zgode, želje, pa čak i probleme za koje teško da biste znali u normalnom poslu.

Zaključak

To je vjerojatno sve što sam želio reći početnicima u području informacijske sigurnosti. Razumijem da bih takvim postom mogao lišiti posla neke svoje kolege, budući da će potencijalni poslodavac jednostavno dodijeliti te odgovornosti administratoru, ali ću također zaštititi mnoge organizacije od integratora i prevaranata koji vole izbacivati ​​novac za revizije i pisanje pamfleta na više stranica o čemu, predstavljajući ih kao standarde (http://site/post/153581/).
Sljedeći put pokušat ću govoriti o organizaciji službe informacijske sigurnosti kao takve.

p.s. Ako glasujete protiv, komentirajte kako ubuduće ne bih činio slične pogreške.

Oznake:

• Sigurnost informacija
• dokumentacija
• obrazovanje

Dodaj oznake

Upravljanje informacijskom sigurnošću (ISM) - proces koji pruža povjerljivost, cjelovitost i dostupnost imovine, informacija, podataka i usluga organizacije. Upravljanje informacijskom sigurnošću obično dio pristupa upravljanja organizacijskom sigurnošću koji ima širi opseg od pružatelja usluga i uključuje obradu papirnati dokumenti, pristup zgradama, Telefonski pozivi itd., za cijelu organizaciju.

Glavna svrha ISM-a je osigurati učinkovito upravljanje informacijskom sigurnošću svih usluga i aktivnosti unutar Uprave za usluge. Sigurnost informacija je dizajniran za zaštitu od povreda povjerljivosti, dostupnosti i cjelovitosti informacija, informacijskih sustava i komunikacija.

1. Povjerljivost- stanje informacija u kojem im pristup ostvaruju samo subjekti koji na to imaju pravo.
2. Integritet– stanje informacije u kojem nema promjene iste ili je promjena izvršena samo namjerno od strane subjekata koji na nju imaju pravo;
3. Dostupnost- stanje informacija u kojem ih subjekti s pravom pristupa mogu nesmetano ostvarivati.

Cilj osiguranja informacijske sigurnosti je postignut ako:

1. Informacije su dostupne kada su potrebne, a informacijski sustavi su otporni na napade i mogu ih izbjeći ili se brzo oporaviti.
2. Informacije su dostupne samo onima koji imaju odgovarajuća prava.
3. Podaci su točni, potpuni i zaštićeni od neovlaštenih promjena.
4. Razmjena informacija s partnerima i drugim organizacijama sigurno je zaštićena.

Posao određuje što i kako treba zaštititi. Istovremeno, za učinkovitost i cjelovitost informacijske sigurnosti potrebno je sagledati poslovne procese od početka do kraja, jer slaba točka može cijeli sustav učiniti ranjivim.

ISM proces bi trebao uključivati:

• formiranje, upravljanje, širenje i usklađenost s Politikom informacijske sigurnosti i drugim pratećim politikama koje se odnose na informacijsku sigurnost. Politika informacijske sigurnosti- politika koja definira pristup organizacije upravljanju informacijskom sigurnošću.
• razumijevanje dogovorenih trenutnih i budućih zahtjeva poslovne sigurnosti;
• korištenje sigurnosne kontrole radi usklađivanja s Politikom informacijske sigurnosti i upravljanja rizicima povezanim s pristupom informacijama, sustavima i uslugama. Uvjet " sigurnosna kontrola" je posuđeno iz engleskog i u ovom kontekstu znači skup protumjera i mjera opreza primijenjenih za otkazivanje, smanjenje i suzbijanje rizika. sigurnosna kontrola sastoji se od proaktivnih i reaktivnih radnji;
• dokumentiranje popisa sigurnosne kontrole, radnje za njihov rad i upravljanje, kao i sve rizike povezane s njima;
• upravljanje dobavljačima i ugovorima koji zahtijevaju pristup sustavima i uslugama. Provodi se u interakciji s procesom upravljanja dobavljačima;
• kontrola svih sigurnosnih proboja i incidenata povezanih sa sustavima i uslugama;
• proaktivno poboljšanje sigurnosne kontrole i smanjenje rizika od kršenja informacijske sigurnosti;
• integracija aspekata informacijske sigurnosti u sve procese Uprave usluga.

Politika informacijske sigurnosti trebala bi uključivati ​​sljedeće:

• implementacija aspekata Politike informacijske sigurnosti;
• moguće zlouporabe aspekata Politike informacijske sigurnosti;
• politika kontrole pristupa;
• politika korištenja lozinke;
• politika e-pošte;
• politika interneta;
• politika antivirusne zaštite;
• politika klasifikacije informacija;
• politika klasifikacije dokumenata;
• politika daljinskog pristupa;
• politike pristupa dobavljača uslugama, informacijama i komponentama;
• politika raspodjele imovine.

Navedena pravila moraju biti dostupna korisnicima i kupcima, koji su zauzvrat dužni pismeno potvrditi suglasnost s njima.

Politike odobrava poslovna i IT uprava i revidiraju se ovisno o okolnostima.

Za osiguranje i upravljanje informacijskom sigurnošću potrebno je održavati Sustav upravljanja informacijskom sigurnošću. Sustav upravljanja informacijskom sigurnošću Sustav upravljanja ili ISMS)- sustav politika, procesa, standarda, dokumenata sa smjernicama i alata koji osiguravaju da organizacija postigne ciljeve upravljanja informacijskom sigurnošću. Na sl. Slika 6.3 prikazuje strukturu ISMS-a koju organizacije najčešće koriste.

Riža. 6.3. ISMS

Za osiguranje i podršku Politike informacijske sigurnosti potrebno je izraditi i koristiti skup sigurnosne kontrole. Kako biste spriječili incidente i ispravno reagirali ako se dogode, koristite sigurnosne mjere prikazane na sl. 6.5.

Riža. 6.5.

Na sl. 6.5 postoje četiri stupnja. Prva faza je pojava prijetnje. Prijetnja je sve što može negativno utjecati ili prekinuti poslovni proces. Incident je ostvarena prijetnja. Incident je polazište za prijavu sigurnosne kontrole. Incident rezultira štetom. Sigurnosne kontrole također se primjenjuju za upravljanje ili uklanjanje rizika. Za svaku fazu potrebno je odabrati odgovarajuće mjere informacijske sigurnosti:

1. preventivne – sigurnosne mjere koje sprječavaju nastanak informacijsko sigurnosnog incidenta. Na primjer, raspodjela prava pristupa.
2. restorativne - sigurnosne mjere usmjerene na smanjenje potencijalne štete u slučaju incidenta. Na primjer, sigurnosna kopija.
3. otkrivanje - sigurnosne mjere usmjerene na otkrivanje incidenata. Na primjer, antivirusna zaštita ili sustav za otkrivanje upada.
4. supresivne - sigurnosne mjere koje suzbijaju pokušaje provedbe prijetnje, odnosno incidente. Na primjer, bankomat korisniku oduzima karticu nakon određenog broja netočnih unosa PIN-a.
5. korektivne - sigurnosne mjere usmjerene na oporavak nakon incidenta. Na primjer, oporavak sigurnosne kopije, povratak na prethodni radni uvjeti i tako dalje.

Ulazi u ISM proces su:

1. informacije iz poslovanja - strategije, planovi, poslovni proračun, kao i njegove sadašnje i buduće potrebe;
2. poslovne sigurnosne politike, sigurnosni planovi, analiza rizika;
3. informacije iz IT-a - IT strategija, planovi i proračun;
4. informacije o uslugama - informacije iz SLM-a, posebno portfelja usluga i kataloga usluga, SLA/SLR;
5. izvješća o procesu i analizi rizika iz ISM-a, upravljanja dostupnošću i upravljanja kontinuitetom usluge;
6. detaljne informacije o svim incidentima informacijske sigurnosti i "prazninama" u njima;
7. informacije o promjenama - informacije iz procesa upravljanja promjenama, posebno raspored promjena i njihov utjecaj na planove, politike i kontrole informacijske sigurnosti;
8. informacije o poslovnim odnosima sa uslugama, uslugama podrške i tehnologijama;
9. informacije o pristupu partnera i dobavljača uslugama i sustavima koje pružaju procesi upravljanja dobavljačima i upravljanja dostupnošću.

Izlazi ISM-a su:

1. sveobuhvatnu Politiku informacijske sigurnosti i druge prateće politike koje su relevantne za informacijsku sigurnost;
2. Sustav upravljanja informacijskom sigurnošću (ISMS), koji sadrži sve informacije potrebne za podršku ISM-u;
3. rezultati ponovne procjene rizika i revizije izvješća;
4. komplet sigurnosne kontrole, opis njihovog rada i upravljanja, kao i svih rizika povezanih s njima;
5. revizije i izvješća informacijske sigurnosti;
6. raspored testiranja plana informacijske sigurnosti;
7. klasifikacija informacijske imovine;
8. izvješća o postojećim "prazninama" u informacijskoj sigurnosti i incidentima;
9. Politike, procesi i procedure za upravljanje pristupom dobavljača i partnera uslugama i sustavima.

Mnoge metrike mogu se koristiti kao ključni pokazatelji učinka za proces upravljanja informacijskom sigurnošću, na primjer:

1. zaštita poslovanja od narušavanja informacijske sigurnosti
   • postotak smanjenja poruka o "prazninama" u Service Desku;
   • postotak smanjenja negativnog utjecaja na poslovanje od "proboja" i incidenata;
   • postotak povećanja stavki informacijske sigurnosti u SLA-u.
2. stvaranje jasne i konzistentne politike informacijske sigurnosti koja uvažava poslovne potrebe, odnosno smanjenje broja odstupanja između ISM procesa i procesa i politika poslovne informacijske sigurnosti.
3. sigurnosni postupci koji su opravdani, dogovoreni i odobreni od strane uprave organizacije:
   • povećanje dosljednosti i prikladnosti sigurnosnih postupaka;
   • povećana podrška menadžmenta
4. mehanizmi poboljšanja:
   • broj predloženih poboljšanja kontrola i postupaka;
   • smanjenje broja nedosljednosti otkrivenih tijekom testiranja i revizije.
5. Informacijska sigurnost sastavni je dio ITSM usluga i procesa, odnosno povećanje broja usluga i procesa koji imaju sigurnosne mjere.

ISM se suočava s mnogim poteškoćama i rizicima u osiguravanju informacijske sigurnosti. Nažalost, u praksi vrlo često poduzeća vjeruju da se pitanjima informacijske sigurnosti treba baviti samo IT. Još je gore kada tvrtka ne razumije zašto uopće treba obratiti pozornost na informacijsku sigurnost. Stvaranje učinkovitog sustava informacijske sigurnosti podrazumijeva velike troškove, što menadžmentu mora biti jasno jer oni odlučuju o financiranju. Pritom je važno održati ravnotežu - osiguranje informacijske sigurnosti ne bi trebalo koštati više od podataka koji se štite.

Postojanje mnogih poslovnih procesa nemoguće je bez informacijske podrške. Zapravo, sve se više poslovnih procesa sastoji isključivo od jednog ili više informacijskih sustava. Upravljanje informacijskom sigurnošću – važan pogled aktivnosti čija je svrha kontrola procesa davanja informacija i sprječavanje njihove neovlaštene uporabe.

Dugi niz godina izazovi upravljanja informacijskom sigurnošću bili su uglavnom zanemareni. Situacija se mijenja. Sigurnost se sada smatra jednim od glavnih pitanja upravljanja u narednim godinama. Zanimanje za ovu tematiku raste zbog sve većeg korištenja interneta, a posebno e-trgovina. Sve više vrsta poduzeća otvara elektroničke pristupnike svojim aktivnostima. To povećava rizik od vanjskog uplitanja i otvara neka važna poslovna pitanja. Koje rizike želimo kontrolirati i koje radnje trebamo poduzeti sada i tijekom sljedećeg proračunskog ciklusa? Upravljanje vrhunska razina mora donositi odluke, a to je moguće samo s duboka analiza rizicima. Ova bi analiza trebala osigurati ulazne podatke za proces upravljanja informacijskom sigurnošću koji je neophodan za određivanje sigurnosnih zahtjeva.

Zahtjevi za sigurnošću poslovnih informacija utječu na pružatelje IT usluga i trebali bi biti ugrađeni u ugovore o razini usluge. Cilj Procesa upravljanja informacijskom sigurnošću je kontinuirano osiguravanje sigurnosti usluga na razini dogovorenoj s korisnikom. Sigurnost je sada najvažniji pokazatelj kvaliteta upravljanja.

Proces upravljanja sigurnošću informacija promiče integraciju sigurnosnih aspekata u IT organizaciju iz perspektive pružatelja usluga. Kodeks prakse upravljanja sigurnošću informacija (BS 7799) daje smjernice za razvoj, implementaciju i procjenu sigurnosnih kontrola.

15.1.1. Osnovni koncepti

Proces upravljanja informacijskom sigurnošću spada u okvir opće informacijske sigurnosti, čija je zadaća osigurati sigurnost informacija. Sigurnost znači biti zaštićen od poznatih rizika i, gdje je to moguće, izbjegavati nepoznate rizike. Alat kojim se to osigurava je sigurnost. Cilj je zaštititi vrijedne informacije. Vrijednost informacije utječe potrebna razina Povjerljivost, integritet i dostupnost.

Povjerljivost– zaštitu informacija od neovlaštenog pristupa i uporabe.

Integritet– točnost, potpunost i pravodobnost informacija.

Dostupnost– informacija mora biti dostupna u bilo koje vrijeme u unaprijed dogovorenom vremenskom intervalu. To ovisi o kontinuitetu sustava za obradu informacija.

Sekundarni aspekti uključuju privatnost (povjerljivost i integritet privatnih informacija), anonimnost i mogućnost provjere (mogućnost provjere ispravne upotrebe informacija i učinkovitosti sigurnosnih mjera).

15.2. Ciljevi procesa

Posljednjih desetljeća gotovo sve vrste poslovanja postale su sve ovisnije o informacijskim sustavima. Porasla je i uporaba računalnih mreža koje nisu ograničene na jednu organizaciju, povezuju poslovne partnere i omogućuju komunikaciju s vanjskim svijetom. Sve veća složenost IT infrastrukture znači da poduzeća postaju sve osjetljivija na tehničke kvarove, ljudske pogreške, zlonamjerne radnje, hakere i uljeze, računalni virusi itd. Ova rastuća složenost zahtijeva jedinstven pristup upravljanju. Proces upravljanja informacijskom sigurnošću ima važne veze s drugim procesima. Neke sigurnosne aktivnosti provode drugi procesi ITIL knjižnice, pod kontrolom procesa upravljanja informacijskom sigurnošću.

Proces upravljanja informacijskom sigurnošću ima dva cilja:

Usklađenost sa sigurnosnim zahtjevima navedenim u SLA i drugim zahtjevima vanjskih sporazuma, zakonodavstva i utvrđenih pravila;

Osiguravanje osnovne razine sigurnosti, neovisno o vanjskim zahtjevima.

Proces upravljanja informacijskom sigurnošću neophodan je za podršku kontinuiranom funkcioniranju IT organizacije. Također pomaže u pojednostavljenju upravljanja sigurnošću informacija unutar upravljanja razinom usluga, budući da stupanj složenosti upravljanja SLA također ovisi o njihovom broju.

Ulaz u proces su SLA ugovori koji definiraju sigurnosne zahtjeve, dopunjene gdje je to moguće dokumentima koji definiraju politiku tvrtke u ovom području, kao i drugim vanjskim zahtjevima. Proces također prima važne informacije povezane sa sigurnosnim problemima od drugih procesa, kao što su sigurnosni incidenti. Rezultat uključuje informacije o postignutoj implementaciji SLA-ova zajedno s izvješćima o hitne situacije sa sigurnosne točke gledišta i redovitih planova sigurnosti. Trenutno se mnoge organizacije bave informacijskom sigurnošću na strateškoj razini - na informacijska politika I informacijsko planiranje, a na operativnoj razini, pri kupnji alata i drugih sigurnosnih proizvoda. Ne posvećuje se dovoljno pažnje stvarnom upravljanju informacijskom sigurnošću, kontinuiranoj analizi i transformaciji pravila rada u tehnička rješenja, održavanje učinkovitosti sigurnosnih mjera kako se zahtjevi i okruženja mijenjaju. Posljedica raskoraka između operativne i strateške razine je da se na taktičkoj razini značajna sredstva ulažu u sigurnosne mjere koje više nisu relevantne, a treba poduzeti nove, učinkovitije mjere. Svrha procesa upravljanja informacijskom sigurnošću je osigurati poduzimanje učinkovitih mjera informacijske sigurnosti na strateškoj, taktičkoj i operativnoj razini.

15.2.1. Prednosti korištenja procesa

Sigurnost informacija nije sama sebi cilj; mora služiti interesima poslovanja i organizacije. Neke vrste informacija i informacijskih usluga su važnije za organizaciju od drugih. Informacijska sigurnost mora odgovarati Razini važnosti informacije. Sigurnost se planira balansiranjem sigurnosnih kontrola, vrijednosti informacija i postojećih prijetnji u okruženju obrade. Učinkovita informacijska potpora uz odgovarajuću informacijsku sigurnost važna je za organizaciju iz dva razloga:

Unutarnji razlozi: Učinkovito funkcioniranje organizacije moguće je samo ako ima pristup točnim i potpunim informacijama. Razina informacijske sigurnosti mora odgovarati ovom principu.

Vanjski razlozi : kao rezultat izvođenja određenih procesa u organizaciji nastaju proizvodi i usluge koji su dostupni tržištu ili društvu za provedbu određene zadatke. Neadekvatna informacijska potpora dovodi do proizvodnje nekvalitetnih proizvoda i usluga koji se ne mogu koristiti za obavljanje relevantnih zadataka i ugrožavaju opstanak organizacije. Adekvatna zaštita informacija je važan uvjet za odgovarajuću informacijsku potporu. Stoga je vanjski značaj informacijske sigurnosti dijelom određen njezinim unutarnjim značajem.

Sigurnost može stvoriti značajnu dodanu vrijednost za informacijske sustave. Učinkovita sigurnost doprinosi kontinuitetu poslovanja organizacije i postizanju njezinih ciljeva.

15.3. Postupak

Organizacije i njihovi informacijski sustavi se mijenjaju. Standardni predlošci kao što je Kodeks prakse za informaciju Security Management) statični su i nedovoljno reagiraju na brze promjene u IT-u. Iz tog razloga, aktivnosti koje se provode unutar Procesa upravljanja informacijskom sigurnošću moraju se stalno preispitivati ​​kako bi se osigurala učinkovitost Procesa. Upravljanje informacijskom sigurnošću svodi se na beskrajni ciklus planova, akcija, provjera i radnji. Aktivnosti koje se provode unutar procesa upravljanja informacijskom sigurnošću ili drugih procesa pod kontrolom upravljanja informacijskom sigurnošću opisane su u nastavku.

Riža. 15.1. Proces upravljanja informacijskom sigurnošću (izvor: OGC)

Zahtjevi kupaca prikazani su desno gornji kut, kao ulazni podatak u proces. Ovi zahtjevi definirani su u odjeljku o sigurnosti Ugovora o razini sigurnosne usluge i dostavljenoj razini sigurnosti. Davatelj usluga priopćava ove ugovore IT organizaciji u obliku sigurnosnog plana koji definira sigurnosne kriterije ili operativne ugovore o razini usluge. Ovaj plan se provodi i rezultati se ocjenjuju. Zatim se usklađuje plan i načini njegove provedbe, o čemu Service Level Management informira kupca. Na taj način kupac i pružatelj usluge zajedno sudjeluju u oblikovanju cjelokupnog ciklusa procesa. Kupac može promijeniti zahtjeve na temelju primljenih izvješća, a pružatelj usluga može prilagoditi plan ili implementaciju na temelju opažanja ili osporiti ugovore definirane u SLA. Upravljačka funkcija prikazana je u sredini slike 15.1. Ovaj dijagram koristit će se u nastavku za opisivanje aktivnosti procesa upravljanja informacijskom sigurnošću.

15.3.1. Odnosi s drugim procesima

Proces upravljanja informacijskom sigurnošću ima veze s drugim ITIL procesima (vidi sliku 15.2) jer drugi procesi obavljaju aktivnosti povezane sa sigurnošću. Te se aktivnosti provode rutinski pod odgovornošću određenog procesa i njegovog voditelja. Pritom Proces upravljanja informacijskom sigurnošću daje drugim procesima upute o strukturi aktivnosti povezanih sa sigurnošću. Obično će se dogovori o tome utvrditi nakon konzultacija između voditelja procesa upravljanja informacijskom sigurnošću i drugih voditelja procesa.

Riža. 15.2. Odnosi između procesa upravljanja informacijskom sigurnošću i drugih procesa (izvor: OGC)

Konfiguracijski menadžment

U kontekstu informacijske sigurnosti, proces upravljanja konfiguracijom ima najveća vrijednost, budući da vam omogućuje klasificiranje stavki konfiguracije (CI). Ova klasifikacija definira odnose između stavki konfiguracije i sigurnosnih mjera ili postupaka na snazi.

Klasifikacija stavki konfiguracije određuje njihovu povjerljivost, cjelovitost i dostupnost. Ova se klasifikacija temelji na sigurnosnim zahtjevima SLA-ova. Kupac IT organizacije određuje klasifikaciju, budući da samo kupac može odlučiti koliko su informacije ili informacijski sustavi važni za poslovne procese. Prilikom izrade klasifikacije konfiguracijskih jedinica, naručitelj uzima u obzir stupanj ovisnosti poslovnih procesa o informacijskim sustavima i informacijama. IT organizacija zatim povezuje klasifikaciju s odgovarajućim stavkama konfiguracije. IT organizacija također mora implementirati skup sigurnosnih kontrola za svaku razinu klasifikacije. Ovi skupovi mjera mogu se opisati kao postupci, na primjer "Postupak za rukovanje medijima s podacima koji sadrže osobne podatke". SLA može definirati skupove sigurnosnih mjera za svaku razinu klasifikacije. Sustav klasifikacije uvijek mora biti kompatibilan sa strukturom organizacije kupca. Međutim, radi pojednostavljenja upravljanja, preporuča se koristiti jedan zajednički sustav klasifikacija, čak i ako IT organizacija ima više kupaca.

Iz gore navedenog možemo zaključiti da je klasifikacija ključna točka. Svaka konfiguracijska stavka u konfiguracijskoj bazi podataka (CMDB) mora biti klasificirana. Ova klasifikacija povezuje stavku konfiguracije s odgovarajućim skupom ili postupkom sigurnosne kontrole.

Upravljanje incidentima

Upravljanje incidentima je važan proces za izvješćivanje o prisutnosti sigurnosnih incidenata. Po svojoj prirodi, sigurnosnim incidentima može se upravljati korištenjem drugačijeg postupka od ostalih incidenata. Stoga je važno da proces upravljanja incidentima prepozna sigurnosne incidente kao takve. Svaki incident koji bi mogao ometati ispunjavanje sigurnosnih zahtjeva SLA klasificira se kao sigurnosni incident. Bilo bi korisno uključiti u SLA-ove definiciju vrsta incidenata koji se smatraju sigurnosnim incidentima. Svaki incident koji sprječava postizanje osnovne interne sigurnosne razine također se uvijek klasificira kao sigurnosni incident.

Incidente ne prijavljuju samo korisnici, već i različiti procesi upravljanja, po mogućnosti na temelju alarma ili podataka revizije sustava. Imperativ je da Proces upravljanja incidentima prepozna sve sigurnosne incidente. To je potrebno za pokretanje odgovarajućih postupaka za rješavanje takvih incidenata. Preporuča se da planovi uključuju postupke za različite vrste sigurnosnih incidenata i testiraju ih u praksi. Također se preporučuje dogovoriti postupak prijave sigurnosnih incidenata. Često se panika javlja zbog prenapuhanih glasina. Isto tako, propust da se pravodobno prijavi sigurnosni incident često rezultira štetom. Preporučljivo je da se sva vanjska komunikacija vezana uz sigurnosne incidente usmjeri preko upravitelja procesa upravljanja informacijskom sigurnošću.

Upravljanje problemima

Proces upravljanja problemima odgovoran je za prepoznavanje i rješavanje strukturnih sigurnosnih propusta. Problem također može stvoriti sigurnosni rizik. U ovom slučaju, upravljanje problemima mora u pomoć uključiti proces upravljanja sigurnošću informacija. Kako bi se osiguralo da se ne pojave novi sigurnosni problemi, potrebno je provjeriti usvojeno konačno rješenje ili zaobilazno rješenje. Ova se provjera treba temeljiti na usklađenosti predloženih rješenja sa zahtjevima SLA sporazuma i internim sigurnosnim zahtjevima.

Upravljanje promjenama

Vrste poslova koji se obavljaju kao dio procesa upravljanja promjenama često su usko povezane sa sigurnošću, budući da su upravljanje promjenama i upravljanje sigurnošću informacija međusobno ovisni. Ako je prihvatljiva razina sigurnosti postignuta i pod kontrolom je procesa upravljanja promjenama, tada se može osigurati da će se ta razina sigurnosti nastaviti održavati nakon što se promjena dogodi. Za podršku ovoj razini sigurnosti postoji niz standardne operacije. Svaki zahtjev za promjenu (RFC) povezan je s nizom parametara koji definiraju postupak prihvaćanja. Parametri hitnosti i utjecaja mogu se nadopuniti parametrom koji se odnosi na sigurnost. Ako je vjerojatno da će Zahtjev za promjenu (RFC) imati značajan utjecaj na sigurnost informacija, bit će potrebno opsežno testiranje prihvaćanja i postupci.

Zahtjev za promjenu (RFC) također mora sadržavati prijedloge za rješavanje sigurnosnih problema. Oni bi se opet trebali temeljiti na zahtjevima SLA i osnovnoj intrinzičnoj razini sigurnosti koju zahtijeva IT organizacija. Slijedom toga, ovi će prijedlozi uključivati ​​skup sigurnosnih mjera temeljenih na Standardima prakse upravljanja sigurnošću informacija.

Preporučljivo je da voditelj procesa upravljanja informacijskom sigurnošću (i po mogućnosti klijentov službenik za sigurnost) bude član Savjetodavnog odbora za promjene (CAB).

Međutim, to ne znači da se sve promjene moraju konzultirati s voditeljem procesa upravljanja informacijskom sigurnošću. U normalnoj situaciji, sigurnost bi trebala biti integrirana u normalan način rada. Voditelj procesa upravljanja promjenama mora moći odlučiti hoće li on ili CAB zahtijevati unos od voditelja procesa upravljanja informacijskom sigurnošću. Slično tome, Upravitelj procesa upravljanja informacijskom sigurnošću ne mora nužno biti uključen u odabir kontrola za specifične stavke konfiguracije na koje utječe Zahtjev za promjenu (RFC), budući da već treba postojati strukturirani pristup za odgovarajuće kontrole. Pitanja se mogu pojaviti samo oko načina provedbe ovih mjera.

Sve sigurnosne mjere povezane s promjenama moraju se implementirati istovremeno sa samim promjenama i moraju se zajedno testirati. Sigurnosni testovi razlikuju se od uobičajenih funkcionalnih testova. Svrha konvencionalnih testova je utvrditi dostupnost određenih funkcija. Sigurnosno testiranje ne provjerava samo dostupnost sigurnosnih značajki, već i nepostojanje drugih, nepoželjnih značajki koje bi mogle smanjiti sigurnost sustava.

Iz sigurnosne perspektive, upravljanje promjenama jedno je od najvažnijih važne procese. To je zato što Change Management uvodi nove sigurnosne mjere u IT infrastrukturu zajedno s promjenama te infrastrukture.

Upravljanje izdanjem

Proces upravljanja izdanjima kontrolira i postavlja sve nove verzije softvera, hardvera, opreme za podatkovnu komunikaciju itd. Ovaj proces osigurava da:

Koristi se odgovarajući hardver i softver;

Hardver i softver se testiraju prije uporabe;

Implementacija je pravilno odobrena kroz proceduru izmjene;

Softver je legalan;

Softver ne sadrži viruse i virusi se neće unijeti distribucijom Softvera;

Brojevi verzija poznati su i zabilježeni u CMDB-u pomoću procesa upravljanja konfiguracijom;

Upravljanje implementacijom bit će učinkovito.

Ovaj proces također koristi uobičajenu proceduru prihvaćanja, koja bi trebala pokriti aspekte informacijske sigurnosti. Osobito je važno uzeti u obzir sigurnosne aspekte tijekom testiranja i prihvaćanja. To znači da se zahtjevi i sigurnosne mjere definirane u SLA moraju poštovati u svakom trenutku.

Upravljanje razinom usluge

Proces upravljanja razinom usluge osigurava definiranje i provedbu ugovora o uslugama koje se pružaju korisnicima. Ugovori o razini usluge također moraju uzeti u obzir sigurnosne mjere. Svrha toga je optimizirati razinu pruženih usluga. Upravljanje razinom usluge uključuje niz aktivnosti povezanih sa sigurnošću u kojima upravljanje sigurnošću informacija igra važnu ulogu:

1. Određivanje sigurnosnih potreba korisnika. Naravno, odgovornost je korisnika da odredi sigurnosne potrebe, jer se te potrebe temelje na njihovim interesima.

2. Provjera izvedivosti sigurnosnih zahtjeva kupaca.

3. Prijedlog, rasprava i određivanje razine sigurnosti IT usluga u SLA.

4. Identifikacija, razvoj i formulacija internih sigurnosnih zahtjeva za IT usluge (Operational Service Level Agreements - OLA).

5. Praćenje sigurnosnih standarda (OLA).

6. Izrada izvješća o pruženim uslugama.

Upravljanje informacijskom sigurnošću pruža Upravljanje razinom usluge s unosom i podrškom za aktivnosti 1 do 3. Aktivnosti 4 i 5 provodi Upravljanje informacijskom sigurnošću. Za aktivnost 6, Upravljanje informacijskom sigurnošću i drugi procesi osiguravaju potrebne ulazne informacije. Voditelji procesa upravljanja razinom usluga i informacijske sigurnosti, nakon međusobnih konzultacija, odlučuju tko je zapravo uključen u provođenje ovih operacija. Prilikom pisanja SLA-ova obično se pretpostavlja da postoji zajednička osnovna razina sigurnosti. Dodatni sigurnosni zahtjevi korisnika trebaju biti jasno definirani u SLA

Upravljanje pristupačnošću

Proces upravljanja dostupnošću razmatra tehničku dostupnost IT komponenti u odnosu na dostupnost usluge. Kvaliteta dostupnosti određena je kontinuitetom, održivošću i održivošću. Budući da mnoge sigurnosne kontrole imaju pozitivan učinak i na dostupnost i na aspekte sigurnosti povjerljivosti i integriteta, ključna je koordinacija kontrola između Upravljanja dostupnošću, Upravljanja kontinuitetom IT usluga i Procesa upravljanja sigurnošću informacija.

Upravljanje kapacitetima

Proces upravljanja kapacitetom odgovoran je za najbolja upotreba IT resursi u skladu s dogovorom s naručiteljem. Zahtjevi za performansama temelje se na kvantitativnim i kvalitativnim standardima koje je definirao Service Level Management. Gotovo sve aktivnosti procesa upravljanja kapacitetima utječu na dostupnost, a time i na proces upravljanja sigurnošću informacija.

Upravljanje kontinuitetom IT usluga

Proces upravljanja kontinuitetom IT usluga osigurava da je utjecaj svih nepredviđenih okolnosti ograničen na razinu dogovorenu s korisnikom. Izvanredne okolnosti ne moraju se pretvoriti u katastrofe. Glavne aktivnosti su definiranje, održavanje, implementacija i testiranje plana podrške kontinuirani rad i obnova funkcioniranja, kao i prihvaćanje preventivne mjere. Zbog prisutnosti sigurnosnih aspekata u ovim vrstama posla, postoji povezanost s Procesom upravljanja informacijskom sigurnošću. S druge strane, neispunjavanje osnovnih sigurnosnih zahtjeva može se smatrati hitnim slučajem.

15.3.2. Sigurnosni odjeljak ugovora o razini usluge

Ugovor o razini usluge (SLA) definira ugovor s kupcem. Proces upravljanja razinom usluge odgovoran je za SLA (vidi također Poglavlje 10). SLA je glavna pokretačka snaga svih ITIL procesa.

IT organizacija određuje u kojoj su mjeri ispunjeni SLA zahtjevi, uključujući sigurnosne zahtjeve. Sigurnosni elementi definirani u SLA moraju zadovoljiti relevantne potrebe korisnika. Kupac mora odrediti važnost svih poslovnih procesa (vidi sliku 15.3).

Riža. 15.3. Odnosi između procesa (izvor: OGC)

Ovi poslovni procesi ovise o IT uslugama; a samim tim i iz informatičke organizacije. Kupac određuje sigurnosne zahtjeve (nema SLA zahtjeva za informacijsku sigurnost na slici 15.3) na temelju analize rizika. Na sl. 15.4. pokazuje kako su definirani sigurnosni elementi SLA.

Riža. 15.4. Pisanje sigurnosnog odjeljka u SLA (izvor: OGC)

Sigurnosni elementi se dogovaraju između predstavnika naručitelja i pružatelja usluga. Davatelj usluga uspoređuje zahtjeve Korisnikove razine usluge sa svojim Katalogom usluga, koji opisuje standardne sigurnosne kontrole (osnovna razina sigurnosti). Kupac može postaviti dodatne zahtjeve.

Kupac i dobavljač uspoređuju zahtjeve razine usluge s katalogom usluga. Sigurnosni odjeljak SLA-a može se baviti pitanjima kao što su opća politika sigurnosti informacija, popis ovlaštenog osoblja, postupci zaštite resursa, ograničenja kopiranja podataka itd.

15.3.3. Sigurnosni dio Ugovora o razini operativne usluge (OLA)

Još jedan važan dokument je Ugovor o razini operativne usluge. Opisuje usluge koje pruža interni pružatelj usluga. Dobavljač mora povezati te dogovore s odgovornostima koje postoje unutar organizacije. Katalog usluga pruža njihov opći opis. Operativni ugovor o razini usluge prevodi ove opće opise u specifične definicije svih usluga i njihovih komponenti te kako se sporazumi o razini usluge provode unutar organizacije.

Primjer. Katalog usluga navodi "upravljanje autorizacijama za korisnike i pojedince". Ugovor o razini operativne usluge to navodi za sve specifične usluge koje pruža IT organizacija. Tako je provedba aktivnosti određena za jedinice koje pružaju usluge UNIX, VMS, NT, Oracle itd.

Gdje je to moguće, klijentovi zahtjevi za razinu usluge određuju se prema Katalogu usluga, a po potrebi se sklapaju i dodatni ugovori. Takve dodatne mjere povećavaju razinu sigurnosti u usporedbi sa standardom.

Prilikom sastavljanja SLA ugovora potrebno je dogovoriti s Managementom informacijske sigurnosti mjerene ključne pokazatelje uspješnosti (KPI) i kriterije. Indikatori uspješnosti trebaju biti mjerljivi parametri (metrike), a kriteriji uspješnosti trebaju biti postavljeni na dostižnu razinu. U nekim slučajevima može biti teško postići dogovor o mjerljivim sigurnosnim parametrima. Lakše ih je definirati za dostupnost usluge, koja se može izraziti brojčano. Međutim, to je puno teže učiniti zbog integriteta i povjerljivosti. Stoga sigurnosni odjeljak SLA-a obično opisuje potrebne kontrole apstraktnim jezikom. Prakse upravljanja sigurnošću informacija koriste se kao osnovni skup sigurnosnih mjera. SLA također opisuje metodu za određivanje izvedbe. Informatička organizacija (davatelj usluga) mora pružati redovita izvješća korisničkoj organizaciji (kupcu).

15.4. Aktivnosti

15.4.1. Kontrola – politika i organizacija informacijske sigurnosti

Kontrola informacijske sigurnosti, prikazana u sredini slike 15.1, prvi je podproces upravljanja informacijskom sigurnošću, a odnosi se na organizaciju i kontrolu procesa. Ova aktivnost uključuje strukturirani pristup upravljanja informacijskom sigurnošću koji opisuje sljedeće potprocese: formuliranje sigurnosnih planova, njihovu provedbu, evaluaciju provedbe i uključivanje evaluacije u godišnje sigurnosne planove (akcijske planove). Također opisuje izvješća koja se dostavljaju korisniku kroz proces upravljanja razinom usluge.

Ova aktivnost definira podprocese, sigurnosne funkcije, uloge i odgovornosti. Također opisuje organizacijsku strukturu, sustav izvještavanja i tijekove kontrole (tko kome daje upute, tko što radi, kako se izvještava o učinku). U okviru ove vrste aktivnosti provode se sljedeće mjere iz zbirke praktičnih preporuka za upravljanje informacijskom sigurnošću.

Interna pravila radi (politika) :

Izrada i implementacija internih pravila (politika), povezanost s drugim pravilima;

Ciljevi, opća načela i značaj;

Opis podprocesa;

Raspodjela funkcija i odgovornosti među podprocesima;

Veze na druge ITIL procese i njihovo upravljanje;

Odgovornost glavnog stožera;

Rješavanje sigurnosnih incidenata.

Organizacija informacijske sigurnosti:

Blok dijagram upravljanja;

Upravljačka struktura (organizacijska struktura);

Detaljnija raspodjela odgovornosti;

Uspostava Upravnog odbora informacijske sigurnosti;

Koordinacija informacijske sigurnosti;

Koordinacija alata(npr. za analizu rizika i podizanje svijesti);

Konzultacije stručnjaka;

Suradnja između organizacija, interna i eksterna interakcija;

Neovisna revizija informacijskih sustava;

Sigurnosna načela za pristup informacijama trećih strana;

Informacijska sigurnost u ugovorima s trećim osobama.

15.4.2. Planiranje

Potproces planiranja svodi se na definiranje sadržaja sigurnosnog dijela SLA-a uz sudjelovanje Procesa upravljanja razinom usluge i opisivanje aktivnosti povezanih sa sigurnošću koje se provode u okviru vanjskih sporazuma. Zadaci koji su definirani u SLA ugovoru u općim crtama, detaljizirani su i navedeni u obliku Ugovora o razini operativne usluge (OLA). OLA se može smatrati sigurnosnim planom za organizacijska struktura pružatelja usluga i kao poseban sigurnosni plan, na primjer, za svaku IT platformu, aplikaciju i mrežu.

Ulaz u potproces planiranja nisu samo odredbe SLA sporazuma, već i načela sigurnosne politike pružatelja usluga (iz potprocesa kontrole). Primjeri ovih načela su: “Svaki korisnik mora biti jedinstveno identificiran”; "Osnovna razina sigurnosti osigurana je u svakom trenutku za sve klijente."

Ugovori o razini operativne usluge (OLA) za informacijsku sigurnost (posebni sigurnosni planovi) razvijaju se i provode uobičajenim postupcima. To znači da ako te aktivnosti postanu potrebne u drugim procesima, tada je potrebna koordinacija s tim procesima. Sve potrebne promjene na IT infrastrukturi provodi Proces upravljanja promjenama koristeći ulazne informacije koje pruža Proces upravljanja informacijskom sigurnošću. Odgovoran za proces upravljanja promjenama je upravitelj ovog procesa.

Potproces planiranja koordinira s procesom upravljanja razinom usluge kako bi se odredio sigurnosni dio SLA-a, ažurirao ga i osigurala usklađenost s njegovim odredbama. Voditelj procesa upravljanja razinom usluge odgovoran je za ovu koordinaciju.

Sigurnosni zahtjevi trebaju biti definirani u SLA, ako je moguće u mjerljivim uvjetima. Sigurnosni odjeljak SLA-a mora osigurati da se može provjeriti postizanje svih korisničkih sigurnosnih zahtjeva i standarda.

15.4.3. Provedba

Zadaća potprocesa provedbe (implementacije) je provesti sve aktivnosti definirane planovima. Ovaj potproces može biti podržan sljedećim spisak akcije.

Klasifikacija i upravljanje IT resursima:

Pružanje ulaznih podataka za podršku stavki konfiguracije (CI) u CMDB;

Klasificirajte IT resurse prema dogovorenim načelima.

Sigurnost osoblja:

Zadaci i odgovornosti u opisu poslova;

Odabir osoblja;

Ugovori o povjerljivosti za osoblje;

Trening;

Upute za osoblje o rješavanju sigurnosnih incidenata i otklanjanju otkrivenih sigurnosnih nedostataka;

Disciplinski postupak;

Poboljšana svijest o sigurnosti.

Upravljanje sigurnošću:

Uvođenje vrsta odgovornosti i raspodjela odgovornosti;

Pisane upute za rad;

Interna pravila;

Sigurnosne mjere moraju obuhvatiti cijeli životni ciklus sustavi; Trebale bi postojati sigurnosne smjernice za razvoj sustava, testiranje, prihvaćanje, operativnu uporabu, održavanje i stavljanje izvan pogona. radno okruženje;

Odvajanje razvojnog i testnog okruženja od operativnog (radnog) okruženja;

Postupci za postupanje u incidentima (implementirani Procesom upravljanja incidentima);

Korištenje alata za oporavak;

Pružanje ulaznih podataka za proces upravljanja promjenama;

Provođenje mjera zaštite od virusa;

Implementirati tehnike upravljanja za računala, aplikacije, mreže i mrežne usluge;

Ispravno rukovanje i zaštita medija podataka.

Kontrola pristupa:

Implementacija politike pristupa i kontrole pristupa;

Podržava privilegije pristupa korisnika i aplikacija mrežama, mrežnim uslugama, računalima i aplikacijama;

Podrška barijere zaštita mreže(vatrozid, usluge pristupa putem telefonska linija, mostovi i usmjerivači);

15.4.4. Razred

Neophodna je neovisna procjena provedbe planiranih aktivnosti. Ova je procjena neophodna za određivanje učinkovitosti, a također je zahtijevaju kupci i treće strane. Rezultati potprocesa procjene mogu se koristiti za prilagodbu mjera dogovorenih s kupcem, kao i za njihovu provedbu. Na temelju rezultata procjene mogu se predložiti promjene, u kojem slučaju se formulira Zahtjev za promjenu (RFC) i šalje u Proces upravljanja promjenama.

Postoje tri vrste ocjenjivanja:

Samoprocjena: prvenstveno je provode resorni odjeli organizacije;

Interna revizija: provode interni IT revizori;

Vanjski audit: Provode ga vanjski IT revizori.

Za razliku od samoprocjene, reviziju ne provodi isto osoblje koje je uključeno u druge potprocese. Ovo je neophodno kako bi se osiguralo razdvajanje odgovornosti. Reviziju može provoditi odjel unutarnje revizije.

Procjena se također provodi kao odgovor na incidente.

Glavne djelatnosti su:

Pregled usklađenosti sa sigurnosnim politikama i provedba sigurnosnih planova;

Provođenje sigurnosne revizije IT sustava;

Identificiranje i poduzimanje radnji protiv neprikladnog korištenja IT resursa;

Provjera sigurnosnih aspekata u drugim vrstama IT revizija.

15.4.5. podrška

Zbog promjenjivih rizika uslijed promjena u IT infrastrukturi, u poduzeću iu poslovnim procesima, potrebno je osigurati odgovarajuću podršku sigurnosnim mjerama. Sigurnosna podrška uključuje podršku za relevantne sigurnosne odjeljke SLA i podršku za detaljni planovi o sigurnosti (na razini ugovora o razini operativnih usluga).

Održavanje učinkovitog funkcioniranja sigurnosnog sustava provodi se na temelju rezultata potprocesa Procjene i analize promjena rizika. Prijedlozi se mogu implementirati ili kao dio potprocesa planiranja ili kao dio održavanja cijelog SLA. U svakom slučaju, dani prijedlozi mogu dovesti do uključivanja dodatnih inicijativa u godišnji plan sigurnosti. Sve promjene podliježu uobičajenom procesu upravljanja promjenama.

15.4.6. Izrada izvještaja

Izvještavanje je aktivnost koja pruža informacije iz drugih podprocesa. Izvješća se generiraju za pružanje informacija o postignutim sigurnosnim performansama i za informiranje korisnika o sigurnosnim problemima. Pitanja u vezi s pružanjem izvješća obično se dogovaraju s kupcem.

Izvješćivanje je važno i za korisnika i za pružatelja usluge. Kupci moraju imati točne informacije o učinkovitosti rada (npr. u provedbi sigurnosnih mjera) i o poduzetim sigurnosnim mjerama. Kupac je također obaviješten o svim sigurnosnim incidentima. Prijedlozi za izvješćivanje navedeni su u nastavku.

Primjeri redovnih izvješća i događaja uključenih u njih:

Potproces planiranja:

Izvješća o stupnju usklađenosti sa SLA ugovorom i dogovorenim ključnim pokazateljima kvalitete o sigurnosnim pitanjima;

Izvješća o vanjskim ugovorima i povezanim pitanjima;

Izvješća o operativnim ugovorima o razini usluge (interni sigurnosni planovi) i vlastitim sigurnosnim politikama dobavljača (npr. osnovna razina sigurnosti);

Izvješća o godišnjim planovima sigurnosti i akcijskim planovima.

Potproces implementacije:

Izvješća o stanju u informacijskoj sigurnosti. To uključuje izvješće o provedbi godišnjeg plana sigurnosti, popis provedenih ili planiranih mjera, podatke o osposobljavanju, rezultate dodatne analize rizika i dr.;

Popis sigurnosnih incidenata i odgovora, po mogućnosti u usporedbi s prethodnim izvještajnim razdobljem;

Identifikacija trendova incidenata;

Status programa obavijesti.

Potproces evaluacije:

Izvješća o učinkovitosti podprocesa;

Rezultati revizija, analiza i internih procjena;

Upozorenja, identifikacija novih prijetnji.

Posebna izvješća:

Za prijavu sigurnosnih incidenata definiranih u SLA-u, pružatelj usluga trebao bi imati izravnu komunikacijsku liniju s predstavnikom korisnika (možda službenikom za informacijsku sigurnost poduzeća) putem upravitelja procesa upravljanja razinom usluge, upravljanja incidentima ili upravljanja sigurnošću informacija. Postupak za komuniciranje sa posebni slučajevi. Osim u posebnim okolnostima, izvješća se podnose putem procesa upravljanja razinom usluge.

15.5. Kontrola procesa

15.5.1. Kritični čimbenici uspjeha i ključni pokazatelji učinkovitost

Kritični čimbenici uspjeha su:

Potpuno razumijevanje potrebe za procesom od strane menadžmenta i njegovo uključivanje u proces;

Uključivanje korisnika u razvoj procesa;

Precizno definiranje i podjela odgovornosti.

Pokazatelji izvedbe Procesa upravljanja sigurnošću informacija odgovaraju istim pokazateljima Procesa upravljanja razinom usluge u onoj mjeri u kojoj su potonji povezani sa sigurnosnim pitanjima koja su obrađena u SLA.

15.5.2. Funkcije i uloge

U malim IT organizacijama jedna osoba može upravljati s više procesa. U velikim organizacijama nekoliko ljudi radi na jednom procesu, kao što je upravljanje informacijskom sigurnošću. U takvim slučajevima obično se imenuje jedan Voditelj procesa upravljanja informacijskom sigurnošću. Ovaj upravitelj je odgovoran za učinkovito funkcioniranje procesa. Njegov kolega u korisničkoj organizaciji je inspektor informacijske sigurnosti.

15.6. Problemi i troškovi

15.6.1. Problemi

Sljedeći aspekti ključni su za uspješnu implementaciju procesa upravljanja informacijskom sigurnošću:

Razumijevanje potrebe za procesom (razumijevanje od strane sudionika): sigurnosne mjere rijetko nailaze na brzo pozitivno razumijevanje osoblja; otpor je češći nego odobravanje. Korisnici zamjeraju gubitak određenih privilegija zbog uvođenja sigurnosnih mjera, čak i ako te značajke nisu bitne za njihov rad. To je zato što im privilegije daju određeni status. Stoga je potrebno posebno raditi na motiviranju korisnika i dobivanju suglasnosti uprave za uvođenje sigurnosnih mjera. Osobito u području upravljanja sigurnošću informacija, menadžment mora voditi primjerom ("pojasniti tečaj" i "voditi"). U nedostatku sigurnosnih incidenata, menadžment može doći u iskušenje da smanji troškove upravljanja sigurnošću.

Stav: Informacijski sustavi nisu sigurni zbog svoje tehničke nesavršenosti, već zbog pogrešaka u korištenju tehnologije. To obično ima veze s ljudskim stavovima i ponašanjem. To znači da sigurnosne procedure moraju biti integrirane u rutinske operacije.

Svijest: Svijest, odnosno komunikacija je ključni koncept. Ponekad postoji sukob interesa između komunikacija i sigurnosti: komunikacije utiru put, ali sigurnost stvara prepreke. To znači da provedba sigurnosnih mjera zahtijeva korištenje svih sredstava komunikacije kako bi se osiguralo da korisnici prihvate traženo ponašanje.

Verifikacija: Sigurnost mora biti revizijska i provjerljiva. To se odnosi kako na uvedene mjere tako i na razloge za njihovo uvođenje. Neophodno je biti u stanju osigurati donošenje pravih odluka u odgovarajućim okolnostima. Na primjer, trebalo bi biti moguće provjeriti vjerodajnice onih koji su donosili odluke.

Upravljanje promjenama: Često kada se naprave promjene, kvaliteta procjene usklađenosti s osnovnom sigurnosnom razinom je oslabljena.

Ambicija: Kada organizacija želi učiniti sve odjednom, često dolazi do pogrešaka. Ako se uvede proces upravljanja informacijskom sigurnošću, implementacija tehničke mjere mnogo manje važno u usporedbi s organizacijskim mjerama. Promjena organizacije zahtijeva pristup korak po korak Dugo vrijeme.

Nedostatak sustava detekcije: Novi sustavi kao što je Internet nisu dizajnirani za sigurnost i potrebu za otkrivanjem hakiranja. Razlog je taj što razvoj sigurnog sustava traje dulje nego nezaštićenog i u sukobu je s poslovnim zahtjevima za niskim troškovima razvoja i vremenom izlaska na tržište.

Pretjerane nade u tehnologiju "neosvojive tvrđave".: Prijetnje sigurnosti sustava sve se više pojavljuju na nepredvidivim mjestima. Usporedite prve napade virusa ILOVEYOU i Nimda s prvim primjerom napada uskraćivanjem usluge (DoS). Iako je zaštita informacija korištenjem tradicionalnog pristupa "neosvojive tvrđave" i dalje važna, pristup "protunapada" također dobiva na važnosti kada dođe do kršenja sigurnosti. Organizacija mora biti u stanju brzo usmjeriti resurse na mjesto kvara prije nego što on izmakne kontroli.

15.6.2. Troškovi

Zaštita vaše IT infrastrukture zahtijeva osoblje, a time i novac, za implementaciju, održavanje i pregled sigurnosnih mjera. Međutim, neuspjeh u zaštiti IT infrastrukture također košta (trošak neproizvedene robe; trošak zamjene; ​​oštećenje podataka, softvera ili hardvera; gubitak ugleda; novčane kazne ili naknade za neispunjenje ugovornih obveza). Kao i uvijek, treba postojati ravnoteža.

Bilješke:

Pojam "Upravljanje IT uslugama", s jedne strane, koristi se kao sinonim za pojam "Upravljanje IT uslugama", ali ga, s druge strane, pojačava, označavajući centralizirani pristup upravljanju cjelokupnom IT organizacijom kao moderna uslužna jedinica usmjerena na pružanje usluga poslovne jedinice koje su sastavni dio proizvodnog procesa.

Zahtjev za promjenu - RFC.

Okvir upravljanja.

Upravni odbor za informacijsku sigurnost.