Четверг, 03.07.2025, 10:56
Главная Регистрация RSS
Приветствую Вас, Гость
Меню сайта
Наш опрос
Оцените мой сайт
Результаты | Архив опросов
Всего ответов: 1
Статистика
Онлайн всего: 1
Гостей: 1
Пользователей: 0
Форма входа
Поиск
Календарь
«  Ноябрь 2012  »
Пн Вт Ср Чт Пт Сб Вс
   1234
567891011
12131415161718
19202122232425
2627282930
Архив записей
Друзья сайта
  • Официальный блог
  • Сообщество uCoz
  • FAQ по системе
  • Инструкции для uCoz
    • Главная » 2012 » Ноябрь » 8 » ТОП 10 регулярных задачи ИБ-шника
    15:12
    ТОП 10 регулярных задачи ИБ-шника

    ТОП 10 регулярных задачи ИБ-шника, которые постоянно откладываем или не делаем

    Как мы знаем, все задачи, которые решают специалисты служб (отделов, департаментов...) информационной безопасности (далее - ИБ) можно условно разделить на 3 группы: стратегические, тактические и операционные. Решение стратегических задач ведет нас к отдаленным целям и задает общий вектор развития. Решение тактических задач предполагает получение определенных выгод и преимуществ в среднесрочной перспективе. Ну, а операционные задачи просто надо выполнять...
    В данном посте я напомню про такие задачи ИБ-шника ("in-house"), которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").

    Итак, перечень задач и комментарии далее (много букв)...

    1.  Пересмотр ожиданий заинтересованных лиц (stakeholders)

    Наша задача - по максимуму удовлетворять потребности и ожидания заинтересованных сторон, которыми являются:
    • руководство/владельцы компании;
    • руководители бизнес-подразделений;
    • руководство и сотрудники подразделений ИТ;
    • сотрудники подразделения ИБ;
    • рядовые сотрудники организации;
    • партнеры и поставщики;
    • ...
    От того насколько успешно мы сможем помогать людям достигать того, чего они хотят, и удовлетворять их критерии, напрямую зависит и наша карьера, и зарплата, и скорость и качество совместной работы, и атмосфера в коллективе.
    Будьте готовы, что порой нам придется совместить (или хотя бы попытаться) противоречивые ожидания (например, обеспечение безопасности и удобства использования информации; скорость согласования проектов ИТ и обеспечение определенного уровня безопасности уровня новых систем, и пр.).

    Результат
    • Актуализированный перечень заинтересованных сторон и их ожиданий (рабочий документ).
    Рекомендуемая периодичность: 1-2 раза в год

    2. Пересмотр и анализ области защиты

    Сотрудники подразделения ИБ должны четко понимать, что они защищают, какие есть критичные элементы в общей системе обработки информации. Это нужно для общего планирования задач ИБ и определения приоритетов работ. Собранная информация также пригодится если мы захотим реализовать какой-либо крупный и/или комплексный проект по ИБ, например: оценить риски ИБ, внедрить и сертифицировать СУИБ по ISO 27001, построить систему защиты ПДн и т.д.

     Результат
    • Комплект рабочих или официальных (утвержденных) документов:
      • Схема орг.-штатной структуры организации;
      • Общая схема и описание сети (кол-во и типы рабочих станций и серверов, сегменты сети, мобильные устройства, средства защиты, точки выхода в сеть Интернет и другие сети);
      • Перечень и краткое описание основных АС;
      • Перечень критичных серверов и рабочих станций;
      • Общая физическая схема расположения подразделений организации;
      • Перечень используемых средств защиты и мониторинга;
      • Перечень системных администраторов (с указанием их зон ответственности);
      • Перечень лиц, допущенных в серверные помещения.
    Рекомендуемая периодичность: 2-4 раза в год

    3. Анализ внешних нормативных документов 

    Сотрудники подразделения ИБ должны знать требования каких нормативно-правовых документов (например, законов РФ и постановлений Правительства РФ, нормативных документов регулирующих органов (в том числе и отраслевых)), документов вышестоящих организаций, а также внешних контрактов, должны быть выполнены в организации. Необходимо регулярно актуализировать перечень таких документов.

    Результат
    • Перечень внешних нормативных документов (рабочий документ)
    Рекомендуемая периодичность: 1-2 раза в год

    4. Постановка целей и определение приоритетов

    Необходимо регулярно ставить цели и приоритеты развития ИБ (я рекомендую выбирать 3 главные цели на год и квартал). Желательно согласовать их со своим руководством. Вроде бы задача простая, но обычно к ней относятся лишь формально или забывают о своих целях и приоритетах при росте числа операционных задач. А у Вас определены и документированы долгосрочные и краткосрочные цели?

    Результат
    • Перечень целей подразделения ИБ (рабочий документ)
    Рекомендуемая периодичность: в зависимости от горизонта планирования

    5. Актуализация перечня внутренних документов, регламентирующих ИТ и ИБ

    Сотрудники подразделения ИБ должны понимать, какие внутренние документы организации определяют требования и процедуры по ИТ и ИБ, какие документы определяют ответственность, какие есть шаблоны и пр. Важно не просто вести такой список, но и понимать статус документа (например, "актуальный", "устарел, требуется пересмотр", "отменен", "проект", "шаблон" и пр.). 

     Результат
    • Перечень внутренних документов по ИТ и ИБ (рабочий документ)
    • План по доработке/пересмотру внутренних документов  (рабочий/официальный документ)
    Рекомендуемая периодичность: 1-2 раза в год

    6. Проведение внутреннего аудита ИБ

    Сотрудники подразделения ИБ должны не только определять/транслировать требования по защите информации (например, формально разрабатывая и внедряя политики и процедуры ИБ), но и проверять, а выполняются ли они. И в случае если они не выполняются, то либо все же "заставить" выполнять, либо пересмотреть их (например, некоторые процедуры и требования ИБ работают лишь на бумаге, и сотрудники их игнорируют, т.к. они бессмысленны и неудобны).

     Результат
    • Отчет по результатам внутреннего аудита ИБ +  Краткий отчет руководству (официальный документ)
    • План по приведению в соответствие (официальные документы)
    Рекомендуемая периодичность: 1 раз в год

    7. Сбор и анализ показателей ИБ

    Желательно определить перечень показателей (метрики и KPI), которые мы сможем использовать для анализа системы ИБ и принятия управленческих решений. Важно понимать, что в большинстве случаев числа ничего не значат до тех пор, пока мы не определим допустимые границы (как в большую, так и в меньшую сторону). Меня всегда умиляют подобные численные показатели: "найдено 200 уязвимостей", "выдано 20 ноутбуков", "проведено обучение основам ИБ 100 человек".
    Желательно использовать одни и те же показатели на протяжении некоторого периода времени, так мы сможем отследить динамику изменений. Также рекомендую не выдумывать большого числа показателей, ориентируйтесь на 2 критерия: сколько времени требуется для получения данного показателя, как много информации о системе ИБ он дает (1й старайтесь уменьшать, 2е увеличивать).

     Результат
    • Отчет по результатам анализа показателей  ИБ +  Краткий отчет руководству (официальные документы)
    • План по совершенствованию ИБ  (рабочий/официальный документы)
    Рекомендуемая периодичность: 1 раз в год

    8. Сканирование и анализ уязвимостей ИТ-инфраструктуры

    Проводить анализ уязвимостей ИТ-инфраструктуры важно для понимания реальной защищенности сети. Если у нас не хватает ресурсов (денег, времени, персонала, знаний, сканеров уязвимостей) для проведения таких работ самостоятельно, то рекомендуется приглашать внешних консультантов.  

     Результат
    • Отчет по результатам анализа уязвимостей (рабочий/официальный документ)
    • План по устранению уязвимостей  (рабочий/официальный документы)
    Рекомендуемая периодичность: 1-2 раза в год

    9. Обучение и повышение осведомленности сотрудников организации

    В рамках повышения осведомленности и обучения нам необходимо вести "просветительскую работу", рассказывать сотрудникам организации об основах ИБ (про угрозы и базовые механизмы защиты), объяснять требования ИБ, принятые в организации, давать советы, как лучше (с точки зрения ИБ) поступить в той или иной ситуации. Форматы могут быть любые, начиная от внутренних тренингов и семинаров, до рассылок электронных писем и размещения мотивирующих картинок на стенах. Выбирайте сами...

     Результат
    • Материалы (информация) для ознакомления персонала
    • Журнал учета (при необходимости, официальный документы)
    Рекомендуемая периодичность: 2-12 раз в год

    10. Обучение и повышение осведомленности сотрудников подразделения ИБ

    "Знаешь ли, приходится бежать со всех ног, чтобы только остаться на том же месте!"
    Необходимо постоянно развивать свои навыки, получать новые актуальные знания в вопросах ИБ. 
    Для этого мы можем:
    • посещать мероприятия по ИБ;
    • посещать мероприятия по смежным областям (ИТ, управление проектами, обеспечение физической безопасности;
    • учиться на курсах по ИБ и ИТ;
    • смотреть вебинары по ИБ и ИТ;
    • читать книги, статьи по ИБ и ИТ;
    • общаться в профессиональных группах по ИБ и ИТ;
    • готовиться и сдавать экзамены по ИБ и ИТ.

     Результат
    • Перечень компетенций сотрудников подразделения ИБ (рабочий документ)
    • Перечень профессиональных сертификатов сотрудников подразделения ИБ  (рабочий документ)
    • Библиотека знаний (электроных и бумажных носителей)
    • Журнал учета посещения мероприятий и обучения по ИБ (при необходимости, рабочий документ)
    Рекомендуемая периодичность: 2-4 раза в год


    P.S. Меня спросили в ФБ "А что же ИБ шники тогда вообще делают ?". Отвечаю: "А по разному: могут заявки согласовывать, могут СЗИ настраивать, могут документы писать, инциденты рассматривать. Иногда просто работу изображают..."

    Источник: http://80na20.blogspot.ru/2012/09/10.html

    Просмотров: 432 | Добавил: Alex_D | Рейтинг: 0.0/0
    Всего комментариев: 0
    Имя *:
    Email *:
    Код *: