Conducerea generală securitatea informatieiîn Bancă se desfășoară de către Președintele Consiliului de Administrație al Băncii pe baza sarcinilor prezentate în Concept, a principiilor de organizare și funcționare a sistemului de securitate a informațiilor, a principalelor amenințări.

Sunt determinate următoarele domenii de activitate a Băncii în managementul securității informațiilor:

• - organizarea managementului securitatii informatiilor in sisteme automatizateși rețele;
• - organizarea protecţiei informații despre vorbire;
• - furnizare protectie fizica facilitatile Bancii in care sunt procesate si stocate informatii care constituie secret comercial;
• - participarea la organizarea fluxului general de documente de afaceri;
• - organizarea si protectia cifrei de afaceri documente confidențiale.

Gestionarea instrumentelor de securitate, stabilirea drepturilor utilizatorului și controlul ar trebui să fie efectuate la nivel central, ținând cont de particularitățile procesării și transmiterii informațiilor în sisteme și secțiuni specifice ale rețelei. Lucrările pentru asigurarea securității informațiilor în sisteme și rețele sunt efectuate direct de:

• - Departamentul de securitate a informatiilor;
• - administratori de sisteme și rețele;
• - persoanele responsabile cu securitatea informatiilor din subdiviziunile Bancii;
• - Direcţia Regim a Administraţiei Securităţii Economice.

Departamentul de securitate a informațiilor este coloana vertebrală management centralizatși controlul securității informațiilor în sistemele și rețelele Băncii. Sarcina principală a Departamentului de Securitate Informațională este de a organiza o activitate continuă, planificată și intenționată pentru asigurarea securității informațiilor și controlul implementării documentelor de reglementare ale băncii privind securitatea informațiilor.

Administratorii de sistem și de rețea sunt angajați ai Departamentului de Tehnologia Informației al Băncii, care sunt responsabili cu asigurarea operabilității sistemelor și rețelelor, implementarea Planului Uptime și restaurarea sistemelor și rețelelor. Principalele sarcini ale administratorilor:

• 1. Managementul direct al sistemelor și rețelelor, controlul integrității sistemelor și rețelelor;
• 2. Asigurarea funcționării fără probleme și restabilirea operabilității sistemelor în caz de defecțiuni și defecțiuni.

Angajații diviziilor structurale ale Băncii sunt responsabili de securitatea informațiilor din divizii. Sarcina lor principală este de a controla implementarea de către angajați, subdiviziunile regulilor de lucru în sistemele automate și rețelele băncii.

Sarcina principală a Direcțiilor din regimul filialelor în ceea ce privește asigurarea securității informațiilor este organizarea și implementarea întregii game de măsuri de protecție a informațiilor din ramură.

Organizarea, planificarea și implementarea măsurilor de protecție a informațiilor vorbite se realizează de către Departamentul de Securitate Economică. Principalele sarcini de protejare a informațiilor de vorbire sunt:

• 1. Monitorizarea respectării de către angajații Băncii a procedurii și regulilor de tratare a informațiilor confidențiale și prevenirea dezvăluirii acestora;
• 2. Detectare și suprimare canale posibile scurgeri de informații despre vorbire;
• 3. Linii directoare pentru protecția informațiilor de vorbire în diviziile Băncii.

Controlul general asupra asigurării protecției informațiilor de vorbire este efectuat de către Departamentul de Securitate Economică.

Organizarea și asigurarea protecției fizice a facilităților Băncii (inclusiv birouri și sucursale suplimentare), unde informațiile confidențiale sunt prelucrate și stocate, se realizează de către Departamentul de Securitate Economică al Băncii. Principalele sarcini ale protecției fizice sunt:

• 1. Organizarea protecției clădirilor, spațiilor de birouri și teritoriilor adiacente acestora împotriva posibilelor pătrunderi și invadări din exterior străiniiși excluderea posibilului furt, denaturare și distrugere a informațiilor confidențiale de către aceștia;
• 2. Asigurarea că angajații și vizitatorii Băncii respectă procedurile și regulile de trecere și comportament pe teritoriul Băncii;
• 3. Securitatea fizică a suporturilor de stocare a materialelor în timpul depozitării și transportului acestora.

Organizarea protecției documentelor confidențiale în diviziile Băncii este încredințată:

• - Vicepreşedinţi ai Consiliului de Administraţie al Băncii - în departamentele şi departamentele supravegheate;
• - Sefi de departamente (sefi de departamente) - in departamente (departamente);
• - Sefi de departamente - in departamente;
• - Manageri de sucursale (directori de birouri suplimentare) - în sucursale (birouri suplimentare).

Organizarea contabilității pentru medii materiale care conțin informații constitutive de secret comercial (munca confidențială de birou) este atribuită Direcției Administrativ și Personal al Băncii și Direcției Securitate Economică, în sucursale (sucursale) - angajaților special alocați în aceste scopuri, numiți. din ordinul ramurii (ramurii).

Pentru a înregistra și stoca parola-cheie și materiale criptografice ale instrumentelor de criptare utilizate în Bancă, în cadrul Departamentului de Securitate Informațională este organizată o secțiune independentă de muncă de birou confidențială. Principalele sarcini ale organizării unui sistem de păstrare a evidențelor confidențiale sunt:

• - selecția și plasarea personalului în zona muncii de birou confidențiale;
• - organizarea fluxului de documente confidentiale in Banca;
• - implementarea corespondenței închise;
• - organizarea contabilitatii si controlul documentelor confidentiale;
• - organizarea și implementarea unui sistem de autorizare pentru admiterea artiștilor interpreți în muncă cu documente confidențiale.

Controlul actual asupra respectării cerințelor de protecție a informațiilor pe suporturi fizice este atribuit Departamentului de Securitate Economică al Băncii.

Responsabilitate

Răspunderea pentru dezvăluirea informațiilor care constituie secretul comercial al Băncii și pierderea documentelor, produselor și medii magnetice care conțin astfel de informații se stabilește în conformitate cu legislatia actuala Federația Rusă.

Responsabilitatea pentru dezvăluirea și pierderea informațiilor care conțin secrete comerciale este suportată personal de fiecare angajat al Băncii care are acces la acestea.

Promovați conștientizarea angajaților

Un factor esențial în implementarea eficientă a acestor principii este un ciclu de activități de legătură pentru a se asigura că managementul securității informațiilor este în mod constant concentrat pe riscurile curente. Este important ca managementul de vârf al organizației să recunoască riscurile de întrerupere a proceselor de afaceri asociate cu securitatea sistemelor informaționale. Baza pentru dezvoltarea și implementarea politicilor și selectarea controalelor necesare este evaluarea riscurilor aplicațiilor individuale de afaceri. Pașii luați vor crește gradul de conștientizare a utilizatorilor cu privire la riscuri și politicile asociate. Eficacitatea controalelor este supusă evaluării prin diverse studii și audituri. Rezultatele obținute oferă o abordare a evaluării ulterioare a riscurilor și determină schimbările necesare în politici și controale. Toate aceste acțiuni sunt coordonate centralizat de serviciul de securitate sau de un colectiv de specialiști, format din consultanți, reprezentanți ai unităților de afaceri și conducerea organizației. Ciclul de management al riscului este ilustrat în figură.

Metode de implementare a unui program de securitate a informațiilor

Următoarele șaisprezece metode utilizate pentru implementarea celor cinci principii ale managementului riscului sunt evidențiate în ilustrația următoare. Aceste practici sunt esențiale pentru implementarea eficientă a programului de securitate a informațiilor unei organizații.

Evaluează riscul și identifică nevoile

Evaluarea riscurilor este primul pas în implementarea unui program de securitate a informațiilor. Securitatea nu este considerată în sine, ci ca un set de politici și controale aferente menite să securizeze procesele de afaceri și să atenueze riscurile aferente. Astfel, identificarea riscurilor de afaceri asociate cu securitatea informațiilor este punctul de plecare al ciclului de management al riscului (securitatea informațiilor).

Recunoașteți resursele informaționale ca active esențiale (inalienabile) ale organizației

Recunoașterea riscurilor de securitate a informațiilor de către conducerea organizației, precum și un set de măsuri care vizează identificarea și gestionarea acestor riscuri este un factor important dezvoltarea programului de securitate a informațiilor. Această abordare de management va asigura că securitatea informațiilor este luată în serios la nivelurile organizaționale inferioare ale organizației, iar profesioniștilor în securitatea informațiilor li se oferă resursele necesare pentru implementarea eficientă a programului.

Dezvoltați proceduri practice de evaluare a riscurilor care să leagă cerințele de securitate și de afaceri

Există diverse metodologii de evaluare a riscurilor, de la discuții informale privind riscurile până la cele echitabile metode complexe implicând utilizarea de specializate instrumente software. Cu toate acestea, experiența mondială a procedurilor de management al riscului de succes descrie un proces relativ simplu care implică participarea diferitelor departamente ale instituțiilor financiare cu implicarea specialiștilor cu cunoștințe despre procesele de afaceri, specialisti tehniciși specialiști în domeniul securității informațiilor.

Merită subliniat faptul că înțelegerea riscurilor nu prevede cuantificarea lor precisă, inclusiv probabilitatea unui incident sau costul daunelor. Asemenea date nu sunt disponibile, deoarece este posibil ca pierderile să nu fie detectate și conducerea să nu fie informată. În plus, datele sunt limitate cu privire la costul total al reparării daunelor cauzate de controalele de securitate slabe, precum și costurile de funcționare ale acestor mecanisme (controale). Datorită schimbărilor constante ale tehnologiei, precum și instrumentelor software și instrumentelor disponibile atacatorilor, aplicarea statisticilor colectate în anii anteriori este discutabilă. Ca urmare, este dificil, dacă nu imposibil, să compare cu acuratețe costul controalelor cu riscul de pierdere pentru a determina care control este cel mai rentabil. În orice caz, managerii unităților de afaceri și specialiștii în securitatea informațiilor ar trebui să se bazeze pe cele mai bune informații disponibile atunci când decid asupra alegerii controalelor (metodelor) necesare.

Stabiliți responsabilitatea pentru managerii unităților de afaceri și managerii implicați în programul de securitate

Managerii unităților de afaceri ar trebui să fie în primul rând responsabili pentru determinarea nivelului de securitate (confidențialitate) al resurselor de informații care susțin procesele de afaceri. Sunt managerii unității de afaceri din cel mai sunt capabili să determine care dintre resursele informaționale este cea mai critică, precum și impactul posibil asupra afacerii, în cazul încălcării integrității, confidențialității sau disponibilității acesteia. În plus, managerii unităților de afaceri pot indica controale care pot dăuna proceselor de afaceri. Astfel, prin implicarea acestora în selecția controalelor, se poate asigura că controalele îndeplinesc cerințele și vor fi implementate cu succes.

Gestionați continuu riscul

Securității informațiilor ar trebui să i se acorde o atenție continuă pentru a asigura caracterul adecvat și eficacitatea controalelor. După cum sa menționat mai devreme, informațiile moderne și tehnologiile conexe, precum și factorii legați de securitatea informațiilor, sunt în continuă schimbare. Astfel de factori includ amenințări, tehnologii și configurații ale sistemului, vulnerabilități cunoscute ale software-ului, nivelul de fiabilitate al sistemelor automate și al datelor electronice și criticitatea datelor și a operațiunilor.

Instalați managementul centralizat

Grupul de conducere acționează în primul rând ca consilier sau consultant al unităților de afaceri și nu poate impune metode (mijloace) de securitate a informațiilor.

Definiți o echipă de conducere pentru a realiza acțiunile cheie

În general, grupul de conducere ar trebui să fie (1) un catalizator (accelerator) al procesului, asigurându-se că riscurile de securitate a informațiilor sunt luate în considerare în mod continuu; (2) o resursă centrală de consultanță pentru unitățile organizaționale; (3) un mijloc de comunicare către conducerea organizației a informațiilor despre starea securității informațiilor și măsurile luate. În plus, grupul de conducere vă permite să gestionați central sarcinile atribuite, altfel aceste sarcini pot fi duplicate de diferite departamente ale organizației.

Oferiți echipei de conducere acces ușor și independent la conducerea de vârf a organizației

Remarcăm necesitatea discutării problemelor de securitate a informațiilor de către managerii grupului de conducere cu conducerea de vârf a organizației. Un astfel de dialog ne va permite să acționăm eficient și să evităm dezacordurile. Altfel, este posibil situatii conflictuale cu manageri de unități de afaceri și dezvoltatori de sisteme care doresc să implementeze noi produse softwareși, prin urmare, provocarea aplicării controalelor care pot interfera cu eficiența și confortul lucrului cu software-ul. Astfel, oportunitatea de a discuta problemele de securitate a informațiilor la cel mai înalt nivel poate asigura că riscurile sunt pe deplin înțelese și tolerate înainte de luarea deciziilor finale.

Definiți și alocați bugetul și personalul

Bugetul va permite planificarea și stabilirea de obiective pentru programul de securitate a informațiilor. Minim, bugetul include salariile angajații și costurile de formare. Mărimea grupului de conducere (unitatea de securitate) poate varia și poate fi invidioasă atât pe obiectivele stabilite, cât și pe proiectele luate în considerare. După cum sa menționat mai devreme, atât specialiștii tehnici, cât și angajații unităților de afaceri pot fi implicați în munca în grup.

Creșteți profesionalismul și cunoștințele tehnice ale angajaților

Angajații organizației ar trebui să fie implicați în diferite aspecte ale programului de securitate a informațiilor și să aibă abilitățile și cunoștințele adecvate. Nivelul necesar de profesionalism al angajaților poate fi atins prin traininguri, care pot fi efectuate atât de specialiști ai organizației, cât și de consultanți externi.

Implementați politicile necesare și controalele adecvate

Politicile în domeniul securității informațiilor stau la baza adoptării anumitor proceduri și alegerea mijloacelor (mecanismelor) de control (management). Politica este mecanismul principal prin care managementul își comunică opiniile și cererile către angajați, clienți și parteneri de afaceri. Pentru securitatea informațiilor, precum și pentru alte domenii ale controlului intern, cerințele politicilor depind direct de rezultatele evaluării riscurilor.

Stabiliți relația dintre politici și riscurile de afaceri

Un set cuprinzător de politici adecvate care sunt accesibile și ușor de înțeles pentru utilizatori este unul dintre primii pași în stabilirea unui program de securitate a informațiilor. Merită subliniată importanța menținerii (ajustării) continue a politicilor pentru un răspuns în timp util la riscurile identificate și eventualele dezacorduri.

Faceți distincția între politici și linii directoare

Abordarea generală a creării politicilor de securitate a informațiilor ar trebui să includă (1) politici la nivel înalt concise (concise) și (2) mai multe informatii detaliate prezentate în ghiduri practice și standarde. Politicile prevăd cerințele de bază și obligatorii adoptate de conducerea de vârf. În timp ce ghidurile de utilizare nu sunt obligatorii pentru toate unitățile de afaceri. Această abordare permite managementului de top să se concentreze pe cel mai mult elemente importante securitatea informațiilor, precum și oferă spațiu de manevră pentru managerii unităților de afaceri, fac politicile ușor de înțeles de către angajați.

Asigurați-vă că politicile sunt respectate de echipa de conducere

Echipa de conducere ar trebui să fie responsabilă pentru dezvoltarea politicilor de securitate a informațiilor ale organizației în colaborare cu managerii unităților de afaceri, auditorii interni și avocații. În plus, grupul de coordonare ar trebui să ofere clarificările necesare și să ofere răspunsuri la întrebările utilizatorilor. Acest lucru va ajuta la rezolvarea și prevenirea neînțelegerilor, precum și la acceptare masurile necesare neacoperite de politici (orientări).

Politicile ar trebui să fie disponibile, astfel încât utilizatorii să poată accesa versiunile lor actuale atunci când este necesar. Utilizatorii trebuie să semneze că sunt familiarizați cu politicile înainte de a le acorda acces la resursele informaționale ale organizației. Dacă un utilizator este implicat într-un incident de securitate, acest acord va servi drept dovadă că el sau ea a fost informat cu privire la politica organizației, precum și posibile sancțiuni în cazul în care aceasta este încălcată.

Promovați conștientizarea

Competența utilizatorilor este o condiție prealabilă pentru securitatea informațiilor de succes și, de asemenea, ajută la asigurarea faptului că controalele funcționează corect. Utilizatorii nu pot urma o politică pe care nu o cunosc sau nu o înțeleg. Neconștient de riscurile asociate cu resurse informaționale organizațiilor, s-ar putea să nu vadă nevoia de a implementa politici menite să atenueze riscurile.

Formarea continuă a utilizatorilor și a altor angajați cu privire la exemplul de riscuri și politicile aferente

Echipa de conducere ar trebui să ofere o strategie de formare continuă a angajaților care afectează într-un fel sau altul securitatea informațională a organizației. Grupul ar trebui să se concentreze pe o înțelegere comună a riscurilor asociate cu informațiile procesate în cadrul organizației și a politicilor și controalelor pentru atenuarea acestor riscuri.

Folosiți o abordare prietenoasă

Echipa de conducere ar trebui să utilizeze o varietate de metode de instruire și încurajare pentru a face politicile organizației accesibile și pentru a educa utilizatorii. Merită să evitați întâlnirile organizate o dată pe an cu toți angajații organizației; dimpotrivă, instruirea se face cel mai bine în grupuri mici de angajați.

Monitorizați și evaluați eficacitatea politicilor și controalelor

Ca orice tip de activitate, securitatea informației este supusă controlului și reevaluării periodice pentru a asigura adecvarea (respectarea) politicilor și mijloacelor (metodelor) de control cu ​​obiectivele stabilite.

Factorii de control care influențează riscurile și indică eficacitatea securității informațiilor

Controlul ar trebui să se concentreze în primul rând pe (1) disponibilitatea controalelor și metodelor și utilizarea acestora în scopul reducerii riscurilor și (2) evaluarea eficienței programului și politicilor de securitate a informațiilor care îmbunătățesc înțelegerea utilizatorilor și reduc numărul de incidente. Astfel de verificări includ testarea mijloacelor (metodelor) de control, evaluarea conformității acestora cu politicile organizației, analizarea incidentelor de securitate, precum și a altor indicatori ai eficacității programului de securitate a informațiilor. Performanța grupului de conducere poate fi evaluată pe baza, de exemplu, pe următorii indicatori (dar fără a se limita la):

• numărul de traininguri și întâlniri desfășurate;
• numărul de evaluări ale riscurilor efectuate;
• numărul de specialiști atestați;
• absența incidentelor care împiedică munca angajaților organizației;
• reducerea numărului de noi proiecte implementate cu întârziere din cauza problemelor de securitate a informațiilor;
• respectarea deplină sau abaterile convenite și înregistrate de la Cerințe minime securitatea informațiilor;
• reducerea numărului de incidente care implică acces neautorizat, pierderea sau denaturarea informațiilor.

Utilizați rezultatele obținute pentru a coordona eforturile viitoare și pentru a crește responsabilitatea managementului

Monitorizarea aduce cu siguranță o organizație în conformitate cu politicile acceptate de securitate a informațiilor, dar beneficiile complete ale monitorizării nu vor fi atinse decât dacă rezultatele sunt utilizate pentru a îmbunătăți programul de securitate a informațiilor. Analiza rezultatelor controlului oferă profesioniștilor în securitatea informațiilor și managerilor unităților de afaceri mijloacele pentru (1) să reevalueze riscurile identificate anterior, (2) să identifice noi domenii cu probleme, (3) să reevalueze caracterul suficient și adecvat al controalelor și metodelor existente. control (management) și acțiuni pentru asigurarea securității informațiilor, (4) determinarea necesității de noi mijloace și mecanisme de control, (5) redirecționarea eforturilor de control (acțiuni de control). În plus, rezultatele pot fi utilizate pentru a evalua performanța managerilor de afaceri responsabili de înțelegerea și atenuarea riscului în toate unitățile de afaceri.

Urmăriți noile metode și controale

Este important să ne asigurăm că (1) profesioniștii în securitatea informațiilor țin pasul cu dezvoltarea metodelor și instrumentelor (aplicații) și au cel mai mult ultimele informatii despre vulnerabilitatea sistemelor și aplicațiilor informaționale, (2) managementul de vârf se asigură că dispune de resursele necesare pentru aceasta.

Prieteni! Vă invităm să discutați. Dacă aveți o părere, scrieți-ne în comentarii.

O zi buna, dragilor!
Nu i-am mai scris lui Habr de mult timp, nu era timp, era mult de lucru. Dar acum m-am descărcat și mi-am format gânduri pentru o nouă postare.

Am vorbit cu unul dintre tovarășii care era însărcinat cu munca de securitate a informațiilor în organizație (tovarăș administrator de sistem) și mi-a cerut să spun de unde să încep și unde să mă deplasez. Și-a pus puțin ordine în gândurile și cunoștințele și i-a dat un plan brut.
Din păcate, această situație este departe de a fi izolată și apare frecvent. Angajatorii, de regulă, doresc să aibă atât un elvețian, cât și un secerător, și un jucător pe țeavă, și toate acestea la un preț. Voi reveni la întrebarea de ce securitatea informațională nu trebuie atribuită IT mai târziu, dar acum ne vom gândi în continuare de unde să începem dacă s-a întâmplat acest lucru și te-ai înscris la o astfel de aventură, adică la crearea unei securități informaționale. sistem de management (ISMS).

Analiza de risc

Aproape totul în securitatea informațiilor începe cu analiza riscurilor, aceasta este baza și începutul tuturor proceselor de securitate. Voi desfășura un scurt program educațional în acest domeniu, deoarece multe concepte nu sunt evidente și sunt cel mai adesea confundate.
Deci, există 3 concepte principale:

• Probabilitatea implementării
• Vulnerabilitate

Riscul este posibilitatea de a suferi orice pierderi (monetare, reputaționale etc.) ca urmare a implementării unei vulnerabilități.
Probabilitatea implementării este cât de probabil este ca o anumită vulnerabilitate să fie exploatată pentru a materializa un risc.
Vulnerabilitatea este direct o lacună în sistemul dumneavoastră de securitate, care, cu un anumit grad de probabilitate, poate provoca un prejudiciu, adică să realizeze un risc.

Există multe metode, abordări diferite ale managementului riscului, vă voi spune despre elementele de bază, restul nu veți avea nevoie la început în formarea unui ISMS.
Deci, toată munca privind managementul riscului se reduce fie la reducerea probabilității implementării, fie la minimizarea pierderilor din implementare. În consecință, riscurile pot fi acceptabile și inacceptabile pentru organizație. Acceptabilitatea riscului este cel mai bine exprimată în cantități specifice de pierderi din implementarea sa (în orice caz, chiar și pierderile reputaționale aparent intangibile duc în cele din urmă la pierderi de profit). Este necesar să decideți împreună cu conducerea ce sumă pentru ei va fi pragul de acceptabilitate și să faceți o gradare (de preferință 3-5 niveluri pentru pierderi). Apoi, faceți o gradare în termeni de probabilitate, precum și cu pierderi, apoi evaluați riscurile prin suma acestor indicatori.
După munca pregatitoare, evidențiați vulnerabilitățile reale ale organizației dvs. și evaluați riscurile implementării și pierderii acestora. Ca rezultat, veți obține 2 seturi de riscuri - acceptabile și inacceptabile. Cu riscuri acceptabile, pur și simplu te suporti și nu vei lua măsuri active pentru a le minimiza (adică acceptăm că minimizarea acestor riscuri ne va costa mai mult decât pierderile din cauza lor), iar cu cele inacceptabile, există 2 scenarii.

Minimizați - reduceți probabilitatea de apariție, reduceți posibilele pierderi sau chiar luați măsuri pentru eliminarea riscului (închiderea vulnerabilității).
Transfer - pur și simplu mutarea preocupărilor legate de risc către o altă persoană, de exemplu, asigurarea organizației împotriva evenimentelor de risc sau transferul unui activ cu risc (de exemplu, mutarea serverelor într-un centru de date, deci pentru sursă de alimentare neîntreruptibilă iar siguranța fizică a serverelor va fi responsabilitatea centrului de date).

Cântare

În primul rând, desigur, este necesar să se evalueze amploarea dezastrului. Nu voi atinge problemele de protecție a datelor cu caracter personal, există deja o mulțime de articole pe acest subiect, există recomandări practice și algoritmi de acțiuni descriși de mai multe ori.
Permiteți-mi să vă reamintesc, de asemenea, că securitatea informațiilor se referă în primul rând la oameni, așa că avem nevoie de documentație de reglementare. Pentru a o scrie, mai întâi trebuie să înțelegeți ce să introduceți acolo.
Există 3 documente principale pentru securitatea informațiilor în acest sens:

Politica de securitate a informațiilor

Documentul dvs. principal, manualul, Biblia și alte titluri importante. În ea sunt descrise toate procedurile de securitate a informațiilor, este descris nivelul de securitate pe care îl urmați în organizația dumneavoastră. Ca să zic așa - o tăietură ideală de securitate, documentată și acceptată în conformitate cu toate regulile.
Politica nu ar trebui să aibă o greutate mare, documentul ar trebui să trăiască, ar trebui să se schimbe sub influența noilor amenințări, tendințe în securitatea informațiilor sau dorințe. În acest sens, politica (ca, în principiu, orice document de proces) ar trebui revizuită în mod regulat pentru relevanță. Cel mai bine este să faceți acest lucru cel puțin o dată pe an.

Conceptul de securitate a informațiilor

Un mic fragment din politică, care descrie elementele de bază ale securității organizației dvs., nu există procese specifice, dar există principii pentru construirea unui ISMS și principii pentru construirea securității.
Acest document este mai mult un document imagine, nu trebuie să conțină nicio informație „sensibilă” și ar trebui să fie deschis și accesibil tuturor. Așezați-l pe site-ul dvs., puneți-l într-o tavă la standul de informații, astfel încât clienții și vizitatorii dvs. să se familiarizeze cu acesta sau pur și simplu să vadă că vă pasă de siguranță și sunteți gata să o demonstrați.

Reglementarea secretului comercial ( informații confidențiale)

În paranteze indicați un nume alternativ pentru un astfel de document. În general, com. secretul este caz special confidențial, dar există foarte puține diferențe.
Acest document trebuie să indice următoarele: cum și unde documentele care compun com. secretul cui este responsabil pentru stocarea acestor documente, cum ar trebui să arate șablonul unui document care conține astfel de informații, care va fi pentru dezvăluirea informațiilor confidențiale (în condițiile legii și în conformitate cu acordurile interne cu conducerea). Și, desigur, o listă de informații care, pentru organizația dvs., sunt secrete comerciale sau sunt confidențiale.
Conform legii, fără măsurile luate pentru protejarea informațiilor confidențiale, nu le aveți, așa cum ar fi :-) Adică informația în sine pare să fie acolo, dar nu poate fi confidențială. Și aici există un punct interesant că un acord de confidențialitate este semnat de 90% din organizație cu noi angajați, dar puțini au luat măsurile cerute de lege. Lista maximă de informații.

Audit

Pentru a scrie aceste documente, sau mai degrabă, pentru a înțelege ce ar trebui să fie în ele, trebuie să efectuați un audit starea curenta IB. Este clar că în funcție de activitățile organizației, distribuția teritorială etc., există o mulțime de nuanțe și factori pentru fiecare organizație specifică, dar există câteva puncte principale care sunt comune tuturor.

Politica de acces

Aici sunt 2 filiale acces fizic la sedii și accesul la sistemele informaționale.

Acces fizic

Descrieți sistemul dvs. de control al accesului. Cum și când sunt emise cardurile de acces, cine determină cine are acces la ce sediu (cu condiția ca spațiile să fie echipate cu ACS). Tot aici merită menționat sistemul de supraveghere video, principiile construcției acestuia (absența punctelor moarte în incinta monitorizată, controlul obligatoriu al intrărilor și ieșirilor în/din clădire, controlul intrării în camera serverelor etc. .). De asemenea, nu uitați de vizitatori, dacă nu aveți o recepție comună (și chiar dacă aveți una), trebuie să indicați modul în care vizitatorii intră în zona controlată (abonamente temporare, escortă).
Pentru camera serverului, ar trebui să existe și o listă de acces separată cu un jurnal al vizitelor (este mai ușor dacă ACS este instalat în camera serverului și totul se face automat).

Accesul la sistemele informatice

Descrieți procedura de eliberare a accesului, dacă este cazul. autentificare multifactor, apoi emiterea de identificatori suplimentari. Politica de parole (expirarea parolei, complexitatea, numărul de încercări de conectare, timpul de blocare a KM-ului după depășirea numărului de încercări) pentru toate sistemele cărora li se acordă acces dacă nu aveți Single Log On peste tot.

Construirea unei rețele

Unde se află serverele de acces extern (DMZ), cum sunt accesate din interior și din exterior. Segmentarea rețelei, cum este furnizată. Firewall-uri, segmentele pe care le protejează (dacă există în cadrul rețelei dintre segmente).

Acces de la distanță

Cum este organizat și cine are acces. În mod ideal, ar trebui să fie așa: doar VPN, acces numai în acord cu managementul de vârf și cu o rațiune a necesității. Dacă aveți nevoie de acces la terți (vânzători, personal de service etc.), atunci accesul este limitat în timp, adică se emite un cont pentru o anumită perioadă, după care este blocat automat. Desigur, când acces de la distanță, oricine, drepturile trebuie limitate la minimum.

Incidente

Cum sunt procesate, cine este responsabil și cum este construit procesul de gestionare a incidentelor și probleme de management (dacă există, desigur). Am avut deja o postare despre lucrul cu incidente: puteți citi mai multe.
De asemenea, este necesar să determinați tendințele din organizația dvs. Adică ce incidente apar mai des, care sunt mai dăunătoare (pierderea simplă, directă de bunuri sau bani, daune reputației). Acest lucru va ajuta la controlul și analiza riscurilor.

Active

ÎN acest caz activele sunt tot ce trebuie protejat. Adică servere, informații pe hârtie sau suporturi amovibile, hard disk-uri calculatoare și așa mai departe. Dacă vreun bun conține informații „sensibile”, atunci ele ar trebui marcate în consecință și ar trebui să existe o listă de acțiuni permise și interzise cu acest activ, cum ar fi transferul către terți, transferul prin e-mailîn cadrul organizației, încărcarea în acces publicîn cadrul organizaţiei etc.

Educaţie

Un moment pe care mulți îl uită. Angajații trebuie să fie învățați despre măsurile de siguranță. Nu este suficient să vă familiarizați cu instrucțiunile și politicile împotriva semnăturii, 90% nu le vor citi, ci pur și simplu le vor semna pentru a scăpa de ele. Am realizat și o publicație despre antrenament: Sunt principalele puncte care sunt importante în antrenament și despre care nu trebuie să le uiți. Pe lângă instruirea în sine, astfel de evenimente sunt utile în ceea ce privește comunicarea dintre angajați și ofițerul de securitate ( nume frumos Chiar imi place :-). Puteți afla despre unele incidente minore, dorințe și chiar probleme despre care cu greu ați fi știut într-un ritm normal de lucru.

Concluzie

Asta, probabil, este tot ceea ce am vrut să le spun începătorilor în domeniul securității informațiilor. Înțeleg că, cu o astfel de postare, s-ar putea să-i privez pe unii dintre colegul meu de muncă, deoarece un potențial angajator va atribui pur și simplu aceste atribuții administratorului, dar voi proteja și multe organizații de integratorii de escrocherie cărora le place să stoarcă bani pentru audituri și să scrie pamflete cu mai multe pagini despre ce, pretinzându-le drept normative (http://website/post/153581/).
Data viitoare voi încerca să vorbesc despre organizarea serviciului de securitate a informațiilor ca atare.

P.S. Daca pui un minus te rog sa comentezi, ca pe viitor sa nu mai fac astfel de greseli.

Etichete:

• Securitatea informațiilor
• documentație
• educaţie

Adaugă etichete

Managementul securității informațiilor (ISM) - proces care prevede confidențialitatea, integritatea și disponibilitatea activelor, informațiilor, datelor și serviciilor organizației. Managementul securității informațiilor de obicei, face parte dintr-o abordare de management al securității organizaționale care are o sferă mai largă decât furnizorul de servicii și include procesarea documente pe hârtie, acces la clădire, apeluri telefonice etc., pentru întreaga organizație.

Scopul principal al ISM este de a asigura un management eficient al securității informațiilor pentru toate serviciile și activitățile din cadrul Managementului Serviciilor. Securitatea informațiilor este conceput pentru a proteja împotriva încălcării confidențialității, disponibilității și integrității informațiilor, sistemelor informaționale și comunicațiilor.

1. Confidențialitate- starea informatiei, in care accesul la aceasta se realizeaza numai de catre subiectii care au dreptul la aceasta.
2. Integritate- starea informatiei in care nu exista modificare a acesteia sau modificarea este efectuata numai intentionat de catre subiectii care au dreptul la aceasta;
3. Disponibilitate- starea informației, în care subiecții cu drept de acces o pot exercita fără piedici.

Scopul asigurării securității informațiilor este atins dacă:

1. Informațiile sunt disponibile atunci când sunt necesare, iar sistemele informaționale sunt rezistente la atacuri, le pot evita sau se pot recupera rapid.
2. Informațiile sunt disponibile numai pentru cei care au drepturile corespunzătoare.
3. Informațiile sunt corecte, complete și protejate de modificări neautorizate.
4. Schimbul de informații cu parteneri și alte organizații este protejat în siguranță.

Afacerea determină ce ar trebui protejat și cum. În același timp, pentru eficacitatea și integritatea securității informațiilor, este necesar să se ia în considerare procesele de afaceri de la început până la sfârșit, deoarece un punct slab poate face vulnerabil întregul sistem.

Procesul ISM ar trebui să includă:

• formarea, gestionarea, distribuirea și conformitatea cu Politica de securitate a informațiilor și alte politici de sprijin care sunt relevante pentru securitatea informațiilor. Politica de securitate a informațiilor— politica care definește abordarea organizației cu privire la managementul securității informațiilor.
• înțelegerea cerințelor actuale și viitoare de securitate a afacerii convenite;
• utilizare controale de securitate să implementeze Politica de securitate a informațiilor și să gestioneze riscurile asociate cu accesul la informații, sisteme și servicii. Termenul " controlul securitatii" este împrumutat din engleză și în acest context înseamnă un set de contramăsuri și precauții aplicate pentru anularea, reducerea și contracararea riscurilor. Adică controlul securitatii constă în acțiuni proactive și reactive;
• documentarea listei controale de securitate, activitățile pentru funcționarea și gestionarea acestora, precum și toate riscurile asociate acestora;
• gestionarea furnizorilor și a contractelor care necesită acces la sisteme și servicii. Se realizează în interacțiune cu procesul de management al furnizorilor;
• controlul tuturor „lacunelor” de securitate și incidentelor legate de sisteme și servicii;
• îmbunătățire proactivă controale de securitateși reducerea riscurilor de încălcare a securității informațiilor;
• integrarea aspectelor de securitate a informațiilor în toate procesele de management al serviciilor.

Politica de securitate a informațiilor ar trebui să includă următoarele:

• implementarea unor aspecte ale Politicii de securitate a informațiilor;
• posibil abuz de aspecte ale Politicii de securitate a informațiilor;
• politica de control al accesului;
• politica de utilizare parolele
• politica de email;
• politica de internet;
• politica de protectie antivirus;
• politica de clasificare a informațiilor;
• politica de clasificare a documentelor;
• politica de acces la distanță;
• politica de acces a furnizorilor la servicii, informații și componente;
• politica de alocare a activelor.

Politicile enumerate ar trebui să fie disponibile utilizatorilor și clienților, care, la rândul lor, trebuie să confirme acordul lor cu aceștia în scris.

Politicile sunt aprobate de managementul companiei și IT și revizuite după caz.

Pentru a asigura și gestiona securitatea informațiilor, este necesară menținerea unui Sistem de Management al Securității Informaționale. Sistem de management al securității informațiilor (Securitatea informațiilor sistem de management sau ISMS)- un sistem de politici, procese, standarde, documente de orientare și instrumente care permit unei organizații să-și atingă obiectivele de management al securității informațiilor. Pe fig. Figura 6.3 prezintă structura ISMS cea mai utilizată de organizații.

Orez. 6.3. ISMS

Pentru a asigura și susține Politica de securitate a informațiilor, este necesară formarea și utilizarea unui set de controale de securitate. Pentru a preveni incidentele și a răspunde corespunzător în cazul apariției acestora, măsurile de securitate prezentate în Fig. 6.5.

Orez. 6.5.

Pe fig. 6.5 există patru etape. Prima etapă este apariția unei amenințări. O amenințare este orice lucru care poate afecta sau întrerupe negativ un proces de afaceri. Un incident este o amenințare realizată. Incidentul este punctul de plecare pentru aplicare controale de securitate. Pagubele apar ca urmare a incidentului. Controalele de securitate sunt, de asemenea, aplicate pentru gestionarea sau eliminarea riscurilor. Pentru fiecare etapă, este necesar să se selecteze măsuri adecvate de securitate a informațiilor:

1. preventiv - măsuri de securitate care împiedică apariția unui incident de securitate a informațiilor. De exemplu, distribuirea drepturilor de acces.
2. reparatorie - măsuri de securitate care vizează reducerea potenţialelor daune în cazul unui incident. De exemplu, backup.
3. detectiv - măsuri de securitate care vizează depistarea incidentelor. De exemplu, protectie antivirus sau un sistem de detectare a intruziunilor.
4. supresive - măsuri de securitate care contracarează încercările de implementare a unei amenințări, adică incidente. De exemplu, un bancomat preia un card de la un client după un anumit număr de introduceri PIN incorecte.
5. corective - măsuri de securitate care vizează recuperarea după un incident. De exemplu, recuperare copii de rezervă, reveniți la precedentul conditii de lucru etc.

Intrările procesului ISM sunt:

1. informații din afacere - strategiile, planurile, bugetul afacerii, precum și cerințele actuale și viitoare ale acesteia;
2. politici de securitate a afacerii, planuri de securitate, analiza riscurilor;
3. informatii din IT - strategie IT, planuri si buget;
4. informații despre servicii - informații de la SLM, în special portofoliul de servicii și catalogul de servicii, SLA/SLR;
5. procese și rapoarte de analiză a riscurilor de la ISM, Availability Management și Service Continuity Management;
6. informații detaliate despre toate incidentele de securitate a informațiilor și „lacunele” din acestea;
7. informații despre modificare - informații din procesul de management al schimbărilor, în special programul modificărilor și impactul acestora asupra planurilor, politicilor și controalelor de securitate a informațiilor;
8. informații despre relația afacerilor cu serviciile, serviciile auxiliare și tehnologiile;
9. informații despre accesul partenerilor și furnizorilor la serviciile și sistemele furnizate de procesele de management al furnizorilor și managementul disponibilității.

Ieșirile ISM sunt:

1. o Politică cuprinzătoare de securitate a informațiilor și alte politici de sprijin care sunt relevante pentru securitatea informațiilor;
2. Sistemul de management al securității informațiilor (ISMS), care conține toate informațiile necesare pentru furnizarea ISM;
3. rezultatele reevaluării riscurilor și rapoartelor de audit;
4. trusa controale de securitate, o descriere a funcționării și gestionării acestora, precum și a oricăror riscuri asociate acestora;
5. audituri și rapoarte de securitate a informațiilor;
6. program pentru testarea planurilor de securitate a informațiilor;
7. clasificarea activelor informaţionale;
8. rapoarte privind „lacunele” existente în securitatea informațiilor și incidente;
9. politici, procese și proceduri pentru a gestiona accesul furnizorilor și partenerilor la servicii și sisteme.

Multe metrici pot fi utilizate ca indicatori de calitate pentru procesul de management al securității informațiilor, cum ar fi:

1. protecția afacerii împotriva încălcării securității informațiilor
   • Reducerea procentuală a rapoartelor despre „lacune” în Service Desk;
   • reducerea procentuală a impactului negativ asupra afacerii din „lacunele” și incidente;
   • creșterea procentuală a articolelor legate de securitatea informațiilor din SLA.
2. formarea unei politici clare și consecvente de securitate a informațiilor care să ia în considerare nevoile afacerii, adică reducerea numărului de inconsecvențe între procesele ISM și procesele și politicile de securitate a informațiilor de afaceri.
3. proceduri de securitate care sunt justificate, agreate și aprobate de conducerea organizației:
   • creșterea coerenței și adecvarii procedurilor de securitate;
   • sprijin sporit din partea conducerii
4. mecanisme de îmbunătățire:
   • numărul de îmbunătățiri propuse la controale și proceduri;
   • reducerea numărului de discrepanțe constatate în timpul testării și auditului.
5. securitatea informațiilor este o parte integrantă a serviciilor și proceselor ITSM, adică o creștere a numărului de servicii și procese în care sunt furnizate măsuri de securitate.

ISM se confruntă cu multe provocări și riscuri în ceea ce privește securitatea informațiilor. Din păcate, în practică, destul de des afacerile consideră că numai IT-ul ar trebui să se ocupe de problemele de securitate a informațiilor. Este și mai rău atunci când afacerea nu înțelege de ce este necesar să se acorde deloc atenție securității informațiilor. Crearea unui sistem eficient de securitate a informațiilor implică costuri ridicate, care ar trebui să fie clare pentru management, deoarece ei sunt cei care iau decizia privind finanțarea. În același timp, este important să se mențină un echilibru - asigurarea securității informațiilor nu ar trebui să coste mai mult decât informațiile protejate în sine.

Existența multor procese de afaceri este imposibilă fără suport informațional. De fapt, tot mai multe procese de afaceri constau numai din unul sau mai multe sisteme informatice. Managementul securității informațiilor – vedere importantă activitate, al cărei scop este controlul proceselor de furnizare a informațiilor și prevenirea utilizării lor neautorizate.

De ani de zile, problemele legate de managementul securității informațiilor au fost în mare măsură ignorate. Situația se schimbă. Securitatea este acum considerată una dintre preocupările de top management pentru următorii ani. Interesul pentru acest subiect este în creștere datorită utilizării în creștere a internetului și mai ales comerțul electronic. Tot mai multe tipuri de afaceri își deschid porți electronice către activitățile lor. Acest lucru ridică pericolul falsificării și ridică câteva întrebări importante de afaceri. Ce riscuri dorim să controlăm și ce acțiuni ar trebui să luăm acum și pe parcursul următorului ciclu bugetar? management nivel superior ar trebui să ia decizii, iar acest lucru este posibil doar atunci când analiză profundă riscuri. Această revizuire ar trebui să ofere input la Procesul de management al securității informațiilor, necesar pentru a determina cerințele de securitate.

Cerințele de afaceri pentru securitatea informațiilor au un impact asupra furnizorilor de servicii IT și ar trebui incluse în acordurile privind nivelul de servicii. Obiectivul Procesului de Management al Securității Informației este de a asigura în mod continuu securitatea serviciilor la nivelul convenit cu clientul. Securitatea este în prezent cel mai important indicator calitatea managementului.

Procesul de Management al Securității Informațiilor facilitează integrarea aspectelor de securitate în organizația IT din punctul de vedere al furnizorului de servicii. Codul de practică pentru managementul securității informațiilor (BS 7799) oferă îndrumări pentru dezvoltarea, implementarea și evaluarea controalelor de securitate.

15.1.1. Noțiuni de bază

Procesul de Management al Securității Informațiilor se încadrează în sfera securității generale a informațiilor, a cărei sarcină este asigurarea siguranței informațiilor. Conservarea înseamnă a fi protejat de riscurile cunoscute și, dacă este posibil, evitarea riscurilor necunoscute. Securitatea este instrumentul pentru a asigura acest lucru. Scopul este de a proteja informatie pretioasa. Valoarea informaţiei influenţează Nivelul necesar Confidențialitate, integritate și disponibilitate.

Confidențialitate– protecția informațiilor împotriva accesului și utilizării neautorizate.

Integritate– Acuratețea, completitudinea și actualitatea informațiilor.

Disponibilitate– informațiile trebuie să fie disponibile în orice moment al intervalului de timp prestabilit. Depinde de continuitatea sistemelor de procesare a informațiilor.

Aspectele secundare includ confidențialitatea (confidențialitatea și integritatea informațiilor private), anonimatul și verificabilitatea (abilitatea de a verifica utilizarea corectă a informațiilor și eficacitatea măsurilor de securitate).

15.2. Obiectivele procesului

În ultimele decenii, aproape toate tipurile de afaceri au devenit mai dependente de sistemele informaționale. Utilizarea rețelelor de calculatoare a crescut, de asemenea, acestea nu se limitează la o singură organizație, ele conectează partenerii de afaceri și asigură comunicarea cu lumea exterioară. Complexitatea tot mai mare a infrastructurii IT înseamnă că afacerea devine din ce în ce mai vulnerabilă la defecțiuni tehnice, erori umane, activități rău intenționate, hackeri și crackeri, virușii informatici etc. Această complexitate crescândă necesită o abordare unificată de management. Procesul de management al securității informațiilor are legături importante cu alte procese. Unele activități de securitate sunt realizate de alte procese de bibliotecă ITIL, sub controlul Procesului de Management al Securității Informației.

Procesul de management al securității informațiilor are două obiective:

Îndeplinirea cerințelor de securitate consacrate în SLA și a altor cerințe ale contractelor externe, actelor legislative și normelor stabilite;

Asigurarea unui nivel de bază de securitate, independent de cerințele externe.

Procesul de management al securității informațiilor este necesar pentru a sprijini funcționarea continuă a unei organizații IT. De asemenea, contribuie la simplificarea managementului securității informațiilor în cadrul managementului nivelului de servicii, deoarece complexitatea managementului SLA depinde și de numărul de SLA.

Intrarea în proces este SLA-urile care definesc cerințele de securitate, completate acolo unde este posibil de documente care definesc politica companiei în acest domeniu, precum și alte cerințe externe. Procesul primește, de asemenea, informații importante legate de problemele de securitate din alte procese, cum ar fi incidentele de securitate. Rezultatul include informații despre implementarea SLA realizată împreună cu rapoarte despre Situații de urgențăîn ceea ce privește securitatea și planurile de securitate obișnuite. În prezent, multe organizații se ocupă de securitatea informațiilor la nivel strategic - în politica de informareȘi planificarea informaţiei, iar la nivel operațional, în achiziția de instrumente și alte produse de securitate. Nu se acordă suficientă atenție managementului real al securității informațiilor, analizei continue și transformării regulilor de lucru în solutii tehnice menținerea eficienței măsurilor de securitate pe măsură ce cerințele și mediile se schimbă. O consecință a decalajului dintre nivelul operațional și cel strategic este că, la nivel tactic, se investesc fonduri semnificative în măsuri de securitate care nu mai sunt relevante, în timp ce trebuie luate măsuri noi, mai eficiente. Obiectivul Procesului de management al securității informațiilor este de a asigura luarea unor măsuri eficiente de securitate a informațiilor la nivel strategic, tactic și operațional.

15.2.1. Beneficiile utilizării procesului

Securitatea informației nu este un scop în sine; ar trebui să servească intereselor afacerii și ale organizației. Unele tipuri de informații și servicii de informare sunt mai importante pentru o organizație decât altele. Securitatea informațiilor trebuie să corespundă Nivelului de importanță al informațiilor. Securitatea este planificată prin atingerea unui echilibru între măsurile de securitate, valoarea informațiilor și amenințările existente în mediul de procesare. Gestionarea eficientă a informațiilor cu o securitate adecvată a informațiilor este importantă pentru o organizație din două motive:

Cauze interne: funcționarea eficientă a organizației este posibilă numai dacă există acces la informații corecte și complete. Nivelul de Securitate Informațională trebuie să respecte acest principiu.

Cauze externe : ca urmare a implementării anumitor procese într-o organizație, sunt create produse și servicii care sunt disponibile pieței sau societății pentru performanță anumite sarcini. Suportul informațional inadecvat duce la producerea de produse și servicii de calitate scăzută care nu pot fi utilizate pentru îndeplinirea sarcinilor lor respective și pun în pericol existența organizației. Protecția adecvată a informațiilor este condiție importantă pentru suport informaţional adecvat. Astfel, semnificația externă a securității informațiilor este determinată parțial de sensul său intern.

Securitatea poate crea o valoare adăugată semnificativă pentru sistemele informaționale. Securitatea eficientă contribuie la continuitatea organizației și la atingerea obiectivelor acesteia.

15.3. Proces

Organizațiile și sistemele lor informaționale se schimbă. Șabloane standard, cum ar fi Codul de practică pentru managementul securității informațiilor pentru informații Managementul securității) sunt statice și nu sunt aliniate în mod adecvat cu schimbările rapide din IT. Din acest motiv, activitățile desfășurate în cadrul Procesului de Management al Securității Informaționale trebuie revizuite constant pentru a asigura eficacitatea Procesului. Managementul securității informațiilor este redus la un ciclu nesfârșit de planuri, acțiuni, verificări și acțiuni. Activitățile desfășurate ca parte a procesului de management al securității informațiilor sau în alte procese aflate sub controlul managementului securității informațiilor sunt descrise mai jos.

Orez. 15.1. Procesul de management al securității informațiilor (Sursa: OGC)

Cerințele clienților sunt afișate în dreapta. colțul de sus ca intrare în proces. Aceste cerințe sunt definite în secțiunea de securitate a Acordului privind nivelul de servicii ca servicii de securitate și nivelul de securitate furnizat. Furnizorul de servicii comunică aceste acorduri către organizația IT sub forma unui Plan de securitate care definește criteriile de securitate sau SLA-urile operaționale. Acest plan este implementat și rezultatele sunt evaluate. Planul și modul în care va fi implementat sunt apoi ajustate și SLM comunică clientului. Astfel, clientul și furnizorul de servicii participă împreună la modelarea întregului ciclu de proces. Clientul poate modifica cerințele pe baza rapoartelor primite, iar furnizorul de servicii poate ajusta planul sau implementarea pe baza rezultatelor observației sau poate contesta aranjamentele definite în SLA. Funcția de control este prezentată în centrul figurii 15.1. În plus, această diagramă va fi utilizată în descrierea activităților Procesului de management al securității informațiilor.

15.3.1. Relații cu alte procese

Procesul de management al securității informațiilor are legături către alte procese ITIL (vezi Figura 15.2) deoarece alte procese desfășoară activități legate de securitate. Această activitate se desfășoară în mod obișnuit sub responsabilitatea unui anumit proces și a conducătorului acestuia. Procedând astfel, Procesul de management al securității informațiilor oferă altor procese îndrumări cu privire la structura activităților legate de securitate. De obicei, acordurile în acest sens sunt stabilite în urma consultărilor dintre șeful procesului de management al securității informațiilor și șefii altor procese.

Orez. 15.2. Relația dintre procesul de management al securității informațiilor și alte procese (Sursa: OGC)

Managementul configurației

În contextul securității informațiilor, procesul de Management al Configurației are cea mai mare valoare, deoarece vă permite să clasificați elementele de configurare (CI). Această clasificare definește relația dintre CI și măsurile sau procedurile de securitate care sunt implementate.

Clasificarea Elementelor de configurare determină confidențialitatea, integritatea și disponibilitatea acestora. Această clasificare se bazează pe cerințele de securitate ale SLA-urilor. Clientul organizației IT determină clasificarea, deoarece doar clientul poate decide cât de importante sunt informațiile sau sistemele informaționale pentru procesele de afaceri. Atunci când creează o clasificare a Elementelor de configurare, clientul ia în considerare gradul de dependență a proceselor de afaceri de sistemele informaționale și informații. Organizația IT conectează apoi clasificarea la CI-urile corespunzătoare. Organizația IT trebuie, de asemenea, să implementeze un set de controale de securitate pentru fiecare Nivel de Clasificare. Aceste seturi de măsuri pot fi descrise ca proceduri, de exemplu „Procedura de manipulare a purtătorilor de date cu informații personale”. SLA poate defini seturi de controale de securitate pentru fiecare Nivel de Clasificare. Sistemul de clasificare trebuie să fie întotdeauna compatibil cu structura organizației clientului. Cu toate acestea, pentru a simplifica gestionarea, se recomandă utilizarea unuia sistem comun clasificare, chiar dacă organizația IT are mai mulți clienți.

Din cele de mai sus, putem concluziona că clasificarea este punctul cheie. Fiecare element de configurare din baza de date de configurare (CMDB) trebuie să fie clasificat. Această clasificare asociază un CI cu un set adecvat de controale sau proceduri de securitate.

Gestionarea incidentelor

Managementul incidentelor este un proces important pentru raportarea incidentelor de securitate. Prin natura lor, incidentele de securitate pot fi gestionate folosind o procedură diferită de alte incidente. Prin urmare, este important ca Procesul de management al incidentelor să recunoască incidentele de securitate ca atare. Orice incident care ar putea interfera cu îndeplinirea cerințelor de securitate SLA este clasificat drept incident de securitate. Ar fi util să se includă în SLA-uri o definiție a tipurilor de incidente care sunt considerate incidente de securitate. Orice incident care împiedică atingerea nivelului intern de bază de securitate este întotdeauna clasificat ca incident de securitate.

Incidentele sunt raportate nu numai de la utilizatori, ci și de la diferite procese de control, poate pe baza alarmelor sau a datelor de audit de sistem. Este esențial ca Procesul de management al incidentelor să recunoască toate incidentele de securitate. Acest lucru este necesar pentru a iniția procedurile adecvate pentru a gestiona astfel de incidente. Se recomandă ca procedurile pentru diferite tipuri de incidente de securitate să fie incluse în planuri și testate în practică. De asemenea, se recomandă să se convină asupra unei proceduri de raportare a incidentelor de securitate. Adesea, panica apare din cauza zvonurilor exagerate. În mod similar, nu este neobișnuit ca eșecul de a raporta incidentele de securitate în timp util la daune. Este de dorit ca toate comunicările externe legate de incidentele de securitate să treacă prin șeful Procesului de management al securității informațiilor.

Managementul problemelor

Procesul de management al problemelor este responsabil pentru identificarea și corectarea defecțiunilor structurale de securitate. Problema poate duce și la un risc de securitate. În acest caz, managementul problemelor ar trebui să apeleze la Procesul de management al securității informațiilor pentru a ajuta. Pentru a evita noi probleme de securitate, soluția sau soluția finală acceptată ar trebui verificată. Această verificare ar trebui să se bazeze pe conformitatea soluțiilor propuse cu cerințele SLA și cerințele de securitate internă.

Managementul schimbării

Tipurile de muncă efectuate în cadrul Procesului de management al schimbării sunt adesea strâns legate de securitate, deoarece managementul schimbărilor și managementul securității informațiilor sunt interdependente. Dacă se atinge un nivel de securitate acceptabil, care se află sub controlul Procesului de management al schimbărilor, atunci se poate garanta că acest nivel de securitate va fi menținut după implementarea modificării. Pentru a susține acest nivel de securitate, există o serie de operațiuni standard. Fiecare cerere de modificare (RFC) este asociată cu un set de parametri care definesc procedura de acceptare. Parametrii de urgență și impact pot fi completați cu un parametru legat de securitate. Dacă o cerere de modificare (RFC) ar putea avea un impact semnificativ asupra securității informațiilor, vor fi necesare teste și proceduri extinse de acceptare.

Cererea de modificări (RFC) ar trebui să includă și propuneri de abordare a problemelor de securitate. Din nou, acestea ar trebui să se bazeze pe cerințele SLA și pe nivelul de bază de securitate internă cerut de organizația IT. Prin urmare, aceste propuneri vor include un set de măsuri de securitate bazate pe Codul de practică pentru managementul securității informațiilor.

Este de dorit ca șeful Procesului de management al securității informațiilor (și eventual inspectorul de securitate al clientului) să fie membru al Consiliului consultativ pentru schimbări (CAB).

Totuși, aceasta nu înseamnă că toate modificările trebuie consultate cu Șeful Procesului de Management al Securității Informațiilor. Într-o situație normală, siguranța ar trebui să fie integrată în modul normal de funcționare. Managerul procesului de management al schimbărilor ar trebui să poată decide dacă el sau comitetul CAB necesită contribuții din partea managerului procesului de management al securității informațiilor. În mod similar, managerul procesului de management al securității informațiilor nu trebuie să fie implicat în selecția măsurilor pentru anumite IC afectate de o cerere de modificare (RFC), deoarece ar trebui să existe deja o abordare structurată pentru măsurile adecvate. Întrebările pot apărea numai cu metoda de implementare a acestor măsuri.

Orice măsuri de securitate asociate cu efectuarea modificărilor ar trebui implementate în același timp cu modificările în sine și ar trebui testate împreună. Testele de securitate sunt diferite de testele funcționale obișnuite. Sarcina testelor convenționale este de a determina disponibilitatea anumitor funcții. Testarea de securitate nu verifică doar disponibilitatea caracteristicilor de securitate, ci și absența altor caracteristici nedorite care ar putea reduce securitatea sistemului.

Din punct de vedere al securității, Managementul schimbărilor este unul dintre cele mai multe procese importante. Acest lucru se datorează faptului că Managementul schimbărilor introduce noi măsuri de securitate în infrastructura IT împreună cu modificări ale acelei infrastructuri.

Managementul lansărilor

Procesul Release Management controlează și implementează toate versiunile noi de software, hardware, echipamente de comunicații de date etc. Acest proces asigură că:

Se utilizează hardware și software adecvat;

Hardware-ul și software-ul sunt testate înainte de utilizare;

Implementarea este autorizată în mod corespunzător prin procedura de modificare;

Software este legal;

Software-ul nu conține viruși, iar virușii nu vor apărea atunci când este distribuit;

Numerele versiunilor sunt cunoscute și înregistrate în CMDB de către Procesul de management al configurației;

Managementul implementării va fi eficient.

Acest proces folosește și procedura normală de acceptare, care ar trebui să acopere aspectele de securitate a informațiilor. Luarea în considerare a aspectelor de siguranță în timpul testării și acceptării este deosebit de importantă. Aceasta înseamnă că cerințele și măsurile de securitate definite în SLA trebuie respectate în orice moment.

Managementul nivelului de servicii

Procesul de management al nivelului de servicii asigură definirea și implementarea acordurilor de servicii pentru clienți. Acordurile privind nivelul de servicii trebuie să ia în considerare și măsurile de securitate. Scopul acestui lucru este de a optimiza Nivelul Serviciilor Furnizate. Managementul nivelului de servicii include o serie de activități legate de securitate în care managementul securității informațiilor joacă un rol important:

1. Determinarea nevoilor clientului in domeniul securitatii. Desigur, determinarea nevoii de securitate este responsabilitatea clientului, deoarece aceste nevoi se bazează pe interesele sale.

2. Verificarea fezabilității cerințelor de siguranță a clienților.

3. Propunerea, discutarea și determinarea Nivelului de Securitate al serviciilor IT în SLA.

4. Definirea, dezvoltarea și formularea cerințelor interne de securitate pentru serviciile IT (Operating Service Level Agreements - OLA).

5. Monitorizarea standardelor de siguranță (OLA).

6. Întocmirea rapoartelor privind serviciile prestate.

Managementul securității informațiilor oferă informații și suport pentru managementul nivelului de servicii pentru activitățile de la 1 la 3. Activitățile 4 și 5 sunt conduse de Managementul securității informațiilor. Pentru Activitatea 6, Managementul Securității Informației și alte procese oferă input-ul necesar. Liderii proceselor de management al nivelului de servicii și management al securității informațiilor, după consultare reciprocă, decid cine este implicat efectiv în aceste operațiuni. Atunci când se elaborează SLA, se presupune de obicei că există un nivel de securitate de bază comun (nivel de bază). Cerințele suplimentare de securitate ale clienților ar trebui să fie clar definite în SLA

Managementul Disponibilității

Procesul de management al disponibilității ia în considerare disponibilitatea tehnică a componentelor IT legate de disponibilitatea serviciului. Calitatea disponibilității este determinată de continuitate, întreținere și rezistență. Deoarece multe măsuri de securitate au un impact pozitiv atât asupra disponibilității, cât și asupra aspectelor de securitate ale confidențialității și integrității, coordonarea măsurilor între managementul disponibilității, managementul continuității serviciilor IT și managementul securității informațiilor este esențială.

Managementul Capacității

Procesul de management al capacității este responsabil pentru cea mai bună utilizare Resurse IT în conformitate cu acordul cu clientul. Cerințele de performanță se bazează pe standarde cantitative și calitative definite de Service Level Management. Aproape toate activitățile Procesului de Management al Capacității afectează disponibilitatea și, prin urmare, și Procesul de Management al Securității Informației.

Managementul continuității serviciilor IT

Procesul de management al continuității serviciilor IT asigură că impactul oricărei contingente este limitat la nivelul convenit cu clientul. Circumstanțele extraordinare nu trebuie să se transforme în catastrofe. Activitățile principale sunt definirea, menținerea, implementarea și testarea planului de aprovizionare muncă continuăși restabilirea funcționării, precum și adoptarea măsuri preventive. Datorită prezenței aspectelor de securitate în aceste tipuri de lucrări, există o legătură cu Procesul de Management al Securității Informației. Pe de altă parte, imposibilitatea îndeplinirii cerințelor de bază de siguranță poate fi considerată ea însăși drept o urgență.

15.3.2. Secțiunea de securitate a Acordului privind nivelul de servicii

Un Acord de Nivel de Servicii (SLA) definește un acord cu un client. Procesul de management al nivelului de serviciu este responsabil pentru SLA (vezi și Capitolul 10). SLA este principala forță motrice din spatele tuturor proceselor ITIL.

Organizația IT determină măsura în care cerințele SLA sunt îndeplinite, inclusiv cerințele de securitate. Elementele de securitate definite în SLA trebuie să răspundă nevoilor respective ale clientului. Clientul trebuie să determine importanța tuturor proceselor de afaceri (vezi Figura 15.3).

Orez. 15.3. Relații între procese (sursa: OGC)

Aceste procese de afaceri depind de serviciile IT; și deci din organizația IT. Clientul determină cerințele de securitate (nu există cerințe de securitate a informațiilor SLA în Figura 15.3) pe baza unei analize de risc. Pe fig. 15.4. arată cum sunt definite elementele de securitate SLA.

Orez. 15.4. Redactarea secțiunii de securitate a SLA (sursa: OGC)

Elementele de securitate sunt discutate între reprezentanții clienților și furnizorii de servicii. Furnizorul de servicii compară cerințele privind nivelul de servicii ale clientului cu Catalogul său de servicii, care descrie măsurile standard de securitate (nivel de securitate de bază). Clientul poate prezenta cerințe suplimentare.

Clientul și furnizorul compară cerințele privind nivelul de servicii cu Catalogul de servicii. Secțiunea de securitate a SLA poate aborda probleme precum politica generală de securitate a informațiilor, lista personalului autorizat, procedurile de protecție a resurselor, restricțiile de copiere a datelor etc.

15.3.3. Secțiunea de securitate a Acordului privind nivelul de servicii de operare (OLA)

Un alt Document Important este un acord privind nivelul de servicii de operare. Descrie serviciile furnizate de furnizorul intern de servicii. Furnizorul trebuie să raporteze aceste aranjamente la responsabilitățile care există în cadrul organizației. Catalogul de servicii oferă o descriere generală a acestora. Operating Service Level Agreement traduce aceste descrieri generale în definiții specifice ale tuturor serviciilor și componentelor acestora, precum și în modul în care sunt îndeplinite acordurile privind nivelul de servicii în cadrul organizației.

Exemplu. Catalogul de servicii listează „gestionarea autorizațiilor utilizatorilor și persoanelor fizice”. Operating Service Level Agreement specifică acest lucru pentru toate serviciile specifice furnizate de organizația IT. Astfel, implementarea evenimentului este determinată pentru unitățile care furnizează servicii UNIX, VMS, NT, Oracle etc.

Acolo unde este posibil, cerințele privind Nivelul de Servicii ale clientului sunt determinate de Catalogul de Servicii și, dacă este necesar, se încheie acorduri suplimentare. Astfel de măsuri suplimentare cresc nivelul de securitate în comparație cu standardul.

La elaborarea unui SLA, indicatorii cheie de performanță (KPI) măsurabili și criteriile trebuie convenite cu Departamentul de securitate a informațiilor. Indicatorii de performanță ar trebui să fie parametri măsurabili (metrici), iar criteriile de performanță ar trebui stabilite la un nivel realizabil. În unele cazuri, poate fi dificil să se ajungă la un acord asupra parametrilor de siguranță măsurabili. Sunt mai ușor de definit pentru disponibilitatea serviciului, care poate fi numerică. Cu toate acestea, pentru integritate și confidențialitate, acest lucru este mult mai dificil de făcut. Prin urmare, în secțiunea de securitate a SLA, măsurile necesare sunt de obicei descrise în limbaj abstract. Codul de practică pentru managementul securității informațiilor este utilizat ca un set de bază de controale de securitate. SLA descrie, de asemenea, metoda de determinare a eficacității. Organizația IT (furnizorul de servicii) trebuie să furnizeze în mod regulat rapoarte organizației utilizator (client).

15.4. Activități

15.4.1. Control - politica si organizarea securitatii informatiilor

Controlul Securității Informației, reprezentat în centrul Figurii 15.1, este primul sub-proces al Managementului Securității Informației și se referă la organizarea și Controlul Procesului. Această activitate include o abordare structurată a Managementului Securității Informaționale care descrie următoarele subprocese: formularea Planurilor de Securitate, implementarea acestora, evaluarea implementării și încorporarea evaluării în Planurile de Securitate anuale (Planuri de Acțiune). De asemenea, descrie rapoartele furnizate clientului prin Procesul de management al nivelului de servicii.

Această activitate definește sub-procesele, funcțiile de securitate, rolurile și responsabilitățile. De asemenea, descrie structura organizațională, sistemul de raportare și fluxurile de management (cine instruiește pe cine, cine face ce, cum este raportată performanța). În cadrul acestei activități sunt implementate următoarele măsuri din Codul de practică pentru managementul securității informațiilor.

Reguli interne munca (politica) :

Dezvoltarea și implementarea regulilor interne de muncă (politică), legături cu alte reguli;

Obiective, principii generale și semnificație;

Descrierea subproceselor;

Repartizarea funcțiilor și responsabilităților pe sub-procese;

Legături cu alte procese ITIL și managementul acestora;

Responsabilitatea generală a personalului;

Gestionarea incidentelor de securitate.

Organizarea securității informațiilor:

Schema bloc de control;

Structura de management (structura organizatorica);

Distribuție mai detaliată a responsabilităților;

Înființarea unui comitet de coordonare pentru securitatea informațiilor;

Coordonarea securității informațiilor;

Coordonare unelte(de exemplu, pentru analiza riscurilor și creșterea gradului de conștientizare);

Consultanță de specialitate;

Cooperare între organizații, interacțiune internă și externă;

Audit independent al sistemelor informatice;

Principii de securitate la accesarea informațiilor terților;

Securitatea informațiilor în contractele cu terții.

15.4.2. Planificare

Sub-procesul de planificare este de a defini conținutul secțiunii SLA de securitate a SLA-urilor cu Procesul de management al nivelului de serviciu și de a descrie activitățile legate de securitate desfășurate în cadrul Contractelor externe. Sarcini definite în SLA in termeni generali, sunt detaliate și concretizate sub forma unui Operating Service Level Agreement (OLA). OLA poate fi văzută ca un plan de securitate pentru structura organizationala furnizor de servicii și ca Plan de securitate specific, de exemplu, pentru fiecare platformă IT, aplicație și rețea.

Intrarea în sub-procesul de planificare nu este doar prevederile SLA, ci și principiile politicii de securitate a furnizorului de servicii (din sub-procesul de control). Exemple ale acestor principii sunt: ​​„Fiecare utilizator trebuie să fie identificat în mod unic”; „Securitatea de nivel de bază este oferită în orice moment și pentru toți clienții.”

Acordurile operaționale de nivel de serviciu (OLA) pentru securitatea informațiilor (planuri de securitate specifice) sunt dezvoltate și implementate folosind proceduri normale. Aceasta înseamnă că, dacă aceste activități au devenit necesare în alte procese, atunci este necesară coordonarea cu aceste procese. Toate modificările necesare ale infrastructurii IT sunt efectuate de Procesul de management al schimbărilor folosind input-ul furnizat de Procesul de management al securității informațiilor. Managerul schimbărilor este responsabil pentru procesul de management al schimbărilor.

Subprocesul de planificare se coordonează cu Procesul de management al nivelului de servicii pentru a determina conținutul secțiunii de securitate SLA, a-l actualiza și a asigura conformitatea cu prevederile sale. Această coordonare este responsabilitatea managerului procesului de management al nivelului de servicii.

Cerințele de securitate ar trebui definite în SLA, dacă este posibil în termeni măsurabili. Secțiunea de securitate a SLA ar trebui să se asigure că toate cerințele și standardele de securitate ale clienților pot fi verificate.

15.4.3. Implementarea

Sarcina subprocesului de implementare (implementare) este implementarea tuturor activităților definite în planuri. Acest sub-proces poate fi susținut de următoarele lista de verificare actiuni.

Clasificarea si managementul resurselor IT:

Furnizarea datelor de intrare pentru a sprijini elementele de configurare (CI) în CMDB;

Clasificarea resurselor IT conform principiilor convenite.

Siguranta personalului:

Sarcini și responsabilități în fișa postului;

Selectarea personalului;

Acorduri de confidențialitate a personalului;

Instruire;

Îndrumări pentru personal privind rezolvarea incidentelor de securitate și corectarea defectelor de securitate detectate;

Măsuri disciplinare;

Conștientizarea securității îmbunătățită.

Management de securitate:

Introducerea tipurilor de responsabilitate și repartizarea atribuțiilor;

Instructiuni de lucru scrise;

Reguli interne;

Măsurile de securitate ar trebui să acopere toate ciclu de viață sisteme; ar trebui să existe manuale de siguranță pentru dezvoltarea sistemului, testarea, acceptarea, utilizarea operațională, întreținerea și dezafectarea. Mediul de operare;

Separarea mediului de dezvoltare și testare de mediul de operare (de lucru);

Proceduri de tratare a incidentelor (realizate prin Procesul de management al incidentelor);

Utilizarea instrumentelor de recuperare;

Furnizarea de contribuții la procesul de management al schimbării;

Implementarea măsurilor de protecție împotriva virușilor;

Implementarea practicilor de management pentru calculatoare, aplicații, rețele și servicii de rețea;

Manipularea și protecția corespunzătoare a suporturilor de date.

Controlul accesului:

Implementarea politicii de acces și controlul accesului;

Suport pentru privilegii de acces pentru utilizatori și aplicații la rețele, servicii de rețea, computere și aplicații;

Suport bariera protectia retelei(firewall, servicii de acces prin linie telefonică, poduri și routere);

15.4.4. Nota

O evaluare independentă a implementării activităților planificate este esențială. Această evaluare este necesară pentru a determina eficacitatea și este cerută și de clienți și terți. Rezultatele sub-procesului de evaluare pot fi utilizate pentru ajustarea măsurilor convenite cu clientul, precum și pentru implementarea acestora. În urma evaluării, pot fi propuse modificări, caz în care se formulează o Cerere de Schimbări (RFC) și se trimite Procesului de Management al Schimbărilor.

Există trei tipuri de evaluare:

Autoevaluare: realizată în primul rând de unitățile de linie ale organizației;

Audit intern: realizat de auditori interni IT;

Audit extern: Efectuat de auditori IT externi.

Spre deosebire de autoevaluare, auditul nu este efectuat de același personal care participă la alte subprocese. Acest lucru este necesar pentru a asigura segregarea responsabilităților. Auditul poate fi efectuat de către departamentul de audit intern.

Evaluarea este, de asemenea, efectuată ca răspuns la incidente.

Activitățile principale sunt:

Verificarea conformității cu politica de securitate și implementarea Planurilor de Securitate;

Efectuarea unui audit de securitate al sistemelor IT;

Identificarea și luarea de măsuri cu privire la utilizarea necorespunzătoare a resurselor IT;

Verificarea aspectelor de securitate în alte tipuri de audituri IT.

15.4.5. A sustine

Pe măsură ce riscurile se modifică odată cu schimbările în infrastructura IT, în companie și în procesele de afaceri, este necesar să ne asigurăm că măsurile de securitate sunt susținute corespunzător. Suportul pentru controalele de securitate include suport pentru secțiunile relevante de securitate SLA și suport pentru Planuri detaliate pentru securitate (la nivel de acorduri de nivel de serviciu de operare).

Menținerea funcționării eficiente a sistemului de securitate se realizează pe baza rezultatelor subprocesului de evaluare și analiză a schimbării riscurilor. Ofertele pot fi implementate fie ca parte a sub-procesului de planificare, fie ca parte a menținerii întregului SLA. În orice caz, propunerile făcute pot conduce la includerea unor inițiative suplimentare în Planul anual de siguranță. Orice modificări sunt supuse procesului normal de gestionare a modificărilor.

15.4.6. Realizarea raportului

Raportarea este o activitate de furnizare de informații din alte subprocese. Rapoartele sunt realizate pentru a oferi informații despre performanța de siguranță atinsă și pentru a informa clienții cu privire la problemele de siguranță. Problemele de raportare sunt de obicei convenite cu clientul.

Raportarea este importantă atât pentru client, cât și pentru furnizorul de servicii. Clienții trebuie să aibă informatii exacte asupra performanței (de exemplu, asupra implementării măsurilor de securitate) și asupra măsurilor de securitate luate. Clientul este, de asemenea, informat cu privire la orice incidente de securitate. Mai jos sunt sugestii pentru raportare.

Exemple de rapoarte periodice și evenimente incluse în acestea:

Subproces de planificare:

Rapoarte privind gradul de conformitate cu SLA și indicatorii de performanță cheie de securitate agreați;

Rapoarte privind contractele externe și problemele conexe;

Rapoarte privind Acordurile privind nivelul de servicii de operare (planuri de securitate interne) și politicile de securitate proprii ale furnizorului (de exemplu, nivelul de securitate de bază);

Rapoarte privind planurile anuale de siguranță și planurile de acțiune.

Subproces de implementare:

Rapoarte despre starea de lucruri în securitatea informației. Acesta include un raport privind implementarea planului anual de siguranță, o listă de măsuri implementate sau planificate, informații despre instruire, rezultatele analizei suplimentare de risc etc.;

O listă de incidente de securitate și răspunsuri, eventual în comparație cu perioada anterioară de raportare;

Identificarea tendințelor incidentelor;

Starea programului de notificare.

Subproces de evaluare:

Rapoarte privind eficacitatea subproceselor;

Rezultatele auditurilor, analizelor și evaluărilor interne;

Avertismente, identificarea noilor amenințări.

Rapoarte speciale:

Pentru a raporta incidentele de securitate definite în SLA, furnizorul de servicii ar trebui să aibă un canal de comunicare directă cu reprezentantul clientului (eventual ofițerul de securitate a informațiilor companiei) prin Managerii de proces de management al nivelului de servicii, managementul incidentelor sau managementul securității informațiilor. Ar trebui să existe și o procedură de comunicare în ocazii speciale. Cu excepția unor circumstanțe speciale, rapoartele sunt comunicate prin Procesul de management al nivelului de servicii.

15.5. Controlul procesului

15.5.1. Factori critici de succes și indicatori cheie eficienţă

Factorii critici de succes sunt:

Înțelegerea deplină a necesității procesului de către management și implicarea acestuia în proces;

Implicarea utilizatorilor în dezvoltarea procesului;

Definirea precisă și împărțirea responsabilităților.

Măsurile de performanță ale Procesului de management al securității informațiilor sunt în concordanță cu cele ale Procesului de management al nivelului de servicii, în măsura în care acestea din urmă se referă la problemele de securitate abordate în SLA.

15.5.2. Funcții și roluri

În organizațiile IT mici, o singură persoană poate gestiona mai multe procese. În organizațiile mari, pe de altă parte, mai mulți oameni lucrează la același proces, cum ar fi Managementul securității informațiilor. În astfel de cazuri, de obicei este numit un șef al Procesului de management al securității informațiilor. Acest manager este responsabil pentru funcționarea eficientă a procesului. Omologul său în organizația clientului este inspectorul de securitate a informațiilor.

15.6. Probleme și costuri

15.6.1. Probleme

Următoarele aspecte sunt esențiale pentru implementarea cu succes a Procesului de management al securității informațiilor:

Înțelegerea necesității procesului (înțelegerea de către participanți): măsurile de securitate se întâlnesc rareori cu o înțelegere pozitivă rapidă din partea personalului; rezistența este mai frecventă decât aprobarea. Utilizatorilor le deranjează pierderea anumitor privilegii din cauza introducerii măsurilor de securitate, chiar dacă aceste capabilități nu sunt esențiale pentru munca lor. Acest lucru se datorează faptului că privilegiile le conferă un anumit statut. Prin urmare, este nevoie de muncă specială pentru a motiva utilizatorii și a obține acordul conducerii pentru a introduce măsuri de securitate. În special în domeniul Managementului Securității Informaționale, managementul trebuie să conducă prin exemplu („clarifică cursul” și „conduce”). În absența incidentelor de securitate, conducerea poate fi tentată să reducă costurile de management al securității.

Atitudine: sistemele informatice sunt nesigure nu din cauza imperfecțiunii lor tehnice, ci din cauza erorilor de utilizare a tehnologiei. De obicei, are de-a face cu atitudinile și comportamentul uman. Aceasta înseamnă că procedurile de securitate trebuie integrate în operațiuni de rutină.

Conștientizarea R: Conștientizarea sau mai degrabă comunicarea este conceptul cheie. Există uneori un conflict de interese între comunicații și securitate: comunicațiile deschid drumul, în timp ce securitatea creează obstacole. Aceasta înseamnă că implementarea măsurilor de securitate necesită utilizarea tuturor mijloacelor de comunicare pentru ca utilizatorii să adopte comportamentul necesar.

Verificare: Trebuie să fie posibilă verificarea și verificarea securității. Acest lucru se aplică atât măsurilor introduse, cât și motivelor introducerii acestora. Trebuie să fii în măsură să te asiguri că deciziile corecte sunt luate în circumstanțele potrivite. De exemplu, ar trebui să fie posibilă verificarea acreditărilor celor care au luat decizii.

Managementul schimbării: de multe ori atunci când se fac modificări, calitatea evaluării conformității cu nivelul de bază de securitate este slăbită.

ambiţie: Când o organizație dorește să facă totul deodată, apar adesea erori. În cazul introducerii Procesului de management al securității informațiilor, implementarea masuri tehnice mult mai puţin importante decât măsurile organizatorice. Schimbarea unei organizații necesită o abordare pas cu pas și ia perioadă lungă de timp.

Lipsa sistemelor de detectare: Sistemele noi, cum ar fi Internetul, nu au fost concepute pentru securitate și nevoia de a detecta falsificarea. Motivul este că un sistem securizat durează mai mult să se dezvolte decât unul nesigur și este în conflict cu cerințele afacerii pentru costuri scăzute de dezvoltare și timp mai rapid de lansare pe piață.

Speranțe excesive pentru tehnologia „cetate inexpugnabilă”.: Amenințările de securitate la adresa sistemelor apar din ce în ce mai mult din locații imprevizibile. Comparați primele atacuri ale virușilor ILOVEYOU și Nimda cu primul exemplu de atacuri Denial of Service (DoS). În timp ce protejarea informațiilor folosind abordarea tradițională „de protecție a fortărețelor” rămâne importantă, abordarea „atac reciproc” câștigă, de asemenea, importanță atunci când apar breșe de securitate. Organizația trebuie să fie capabilă să direcționeze rapid resursele către locația unui defect înainte ca acesta să scape de sub control.

15.6.2. Cheltuieli

Securizarea unei infrastructuri IT necesită oameni și, prin urmare, bani să ia, să întrețină și să valideze măsuri de securitate. Cu toate acestea, eșecul de a proteja infrastructura IT costă și bani (costul produselor nefabricate; costul înlocuirii; deteriorarea datelor, software-ului sau hardware-ului; pierderea reputației; amenzi sau compensații din cauza neîndeplinirii obligațiilor contractuale). Ca întotdeauna, echilibrul trebuie găsit.

Note:

Termenul „IT Service Management”, pe de o parte, este folosit ca sinonim pentru termenul „IT Service Management”, dar, pe de altă parte, îl întărește, adică o abordare centralizată a managementului întregii organizații IT ca o unitate de servicii modernă care vizează furnizarea de servicii unității de afaceri și să fie parte integrantă a procesului de producție.

Cerere de modificare - RFC.

cadrul de management.

Comitetul Director pentru Securitatea Informației.