В данном посте я напомню про такие задачи ИБ-шника ("in-house"), которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").
Итак, перечень задач и комментарии далее (много букв)...
name='more'>
name='more'>
1. Пересмотр ожиданий заинтересованных лиц (stakeholders)
Наша задача - по максимуму удовлетворять потребности и ожидания заинтересованных сторон, которыми являются:
- руководство/владельцы компании;
- руководители бизнес-подразделений;
- руководство и сотрудники подразделений ИТ;
- сотрудники подразделения ИБ;
- рядовые сотрудники организации;
- партнеры и поставщики;
- ...
От того насколько успешно мы сможем помогать людям достигать того, чего они хотят, и удовлетворять их критерии, напрямую зависит и наша карьера, и зарплата, и скорость и качество совместной работы, и атмосфера в коллективе.
Будьте готовы, что порой нам придется совместить (или хотя бы попытаться) противоречивые ожидания (например, обеспечение безопасности и удобства использования информации; скорость согласования проектов ИТ и обеспечение определенного уровня безопасности уровня новых систем, и пр.).
Результат:
- Актуализированный перечень заинтересованных сторон и их ожиданий (рабочий документ).
Рекомендуемая периодичность: 1-2 раза в год
2. Пересмотр и анализ области защиты
Сотрудники подразделения ИБ должны четко понимать, что они защищают, какие есть критичные элементы в общей системе обработки информации. Это нужно для общего планирования задач ИБ и определения приоритетов работ. Собранная информация также пригодится если мы захотим реализовать какой-либо крупный и/или комплексный проект по ИБ, например: оценить риски ИБ, внедрить и сертифицировать СУИБ по ISO 27001, построить систему защиты ПДн и т.д.
Результат:
- Комплект рабочих или официальных (утвержденных) документов:
- Схема орг.-штатной структуры организации;
- Общая схема и описание сети (кол-во и типы рабочих станций и серверов, сегменты сети, мобильные устройства, средства защиты, точки выхода в сеть Интернет и другие сети);
- Перечень и краткое описание основных АС;
- Перечень критичных серверов и рабочих станций;
- Общая физическая схема расположения подразделений организации;
- Перечень используемых средств защиты и мониторинга;
- Перечень системных администраторов (с указанием их зон ответственности);
- Перечень лиц, допущенных в серверные помещения.
Рекомендуемая периодичность: 2-4 раза в год
3. Анализ внешних нормативных документов
Сотрудники подразделения ИБ должны знать требования каких нормативно-правовых документов (например, законов РФ и постановлений Правительства РФ, нормативных документов регулирующих органов (в том числе и отраслевых)), документов вышестоящих организаций, а также внешних контрактов, должны быть выполнены в организации. Необходимо регулярно актуализировать перечень таких документов.
Результат:
Результат:
- Перечень внешних нормативных документов (рабочий документ)
Рекомендуемая периодичность: 1-2 раза в год
4. Постановка целей и определение приоритетов
Необходимо регулярно ставить цели и приоритеты развития ИБ (я рекомендую выбирать 3 главные цели на год и квартал). Желательно согласовать их со своим руководством. Вроде бы задача простая, но обычно к ней относятся лишь формально или забывают о своих целях и приоритетах при росте числа операционных задач. А у Вас определены и документированы долгосрочные и краткосрочные цели?
Результат:
- Перечень целей подразделения ИБ (рабочий документ)
Рекомендуемая периодичность: в зависимости от горизонта планирования
5. Актуализация перечня внутренних документов, регламентирующих ИТ и ИБ
Сотрудники подразделения ИБ должны понимать, какие внутренние документы организации определяют требования и процедуры по ИТ и ИБ, какие документы определяют ответственность, какие есть шаблоны и пр. Важно не просто вести такой список, но и понимать статус документа (например, "актуальный", "устарел, требуется пересмотр", "отменен", "проект", "шаблон" и пр.).
Результат:
- Перечень внутренних документов по ИТ и ИБ (рабочий документ)
- План по доработке/пересмотру внутренних документов (рабочий/официальный документ)
Рекомендуемая периодичность: 1-2 раза в год
6. Проведение внутреннего аудита ИБ
Сотрудники подразделения ИБ должны не только определять/транслировать требования по защите информации (например, формально разрабатывая и внедряя политики и процедуры ИБ), но и проверять, а выполняются ли они. И в случае если они не выполняются, то либо все же "заставить" выполнять, либо пересмотреть их (например, некоторые процедуры и требования ИБ работают лишь на бумаге, и сотрудники их игнорируют, т.к. они бессмысленны и неудобны).
Результат:
- Отчет по результатам внутреннего аудита ИБ + Краткий отчет руководству (официальный документ)
- План по приведению в соответствие (официальные документы)
Рекомендуемая периодичность: 1 раз в год
7. Сбор и анализ показателей ИБ
Желательно определить перечень показателей (метрики и KPI), которые мы сможем использовать для анализа системы ИБ и принятия управленческих решений. Важно понимать, что в большинстве случаев числа ничего не значат до тех пор, пока мы не определим допустимые границы (как в большую, так и в меньшую сторону). Меня всегда умиляют подобные численные показатели: "найдено 200 уязвимостей", "выдано 20 ноутбуков", "проведено обучение основам ИБ 100 человек".
Желательно использовать одни и те же показатели на протяжении некоторого периода времени, так мы сможем отследить динамику изменений. Также рекомендую не выдумывать большого числа показателей, ориентируйтесь на 2 критерия: сколько времени требуется для получения данного показателя, как много информации о системе ИБ он дает (1й старайтесь уменьшать, 2е увеличивать).
Результат:
- Отчет по результатам анализа показателей ИБ + Краткий отчет руководству (официальные документы)
- План по совершенствованию ИБ (рабочий/официальный документы)
Рекомендуемая периодичность: 1 раз в год
8. Сканирование и анализ уязвимостей ИТ-инфраструктуры
Проводить анализ уязвимостей ИТ-инфраструктуры важно для понимания реальной защищенности сети. Если у нас не хватает ресурсов (денег, времени, персонала, знаний, сканеров уязвимостей) для проведения таких работ самостоятельно, то рекомендуется приглашать внешних консультантов.
Результат:
- Отчет по результатам анализа уязвимостей (рабочий/официальный документ)
- План по устранению уязвимостей (рабочий/официальный документы)
Рекомендуемая периодичность: 1-2 раза в год
9. Обучение и повышение осведомленности сотрудников организации
В рамках повышения осведомленности и обучения нам необходимо вести "просветительскую работу", рассказывать сотрудникам организации об основах ИБ (про угрозы и базовые механизмы защиты), объяснять требования ИБ, принятые в организации, давать советы, как лучше (с точки зрения ИБ) поступить в той или иной ситуации. Форматы могут быть любые, начиная от внутренних тренингов и семинаров, до рассылок электронных писем и размещения мотивирующих картинок на стенах. Выбирайте сами...
Результат:
- Материалы (информация) для ознакомления персонала
- Журнал учета (при необходимости, официальный документы)
Рекомендуемая периодичность: 2-12 раз в год
10. Обучение и повышение осведомленности сотрудников подразделения ИБ
"Знаешь ли, приходится бежать со всех ног, чтобы только остаться на том же месте!"
Необходимо постоянно развивать свои навыки, получать новые актуальные знания в вопросах ИБ.
Для этого мы можем:- посещать мероприятия по ИБ;
- посещать мероприятия по смежным областям (ИТ, управление проектами, обеспечение физической безопасности;
- учиться на курсах по ИБ и ИТ;
- смотреть вебинары по ИБ и ИТ;
- читать книги, статьи по ИБ и ИТ;
- общаться в профессиональных группах по ИБ и ИТ;
- готовиться и сдавать экзамены по ИБ и ИТ.
Результат:
- Перечень компетенций сотрудников подразделения ИБ (рабочий документ)
- Перечень профессиональных сертификатов сотрудников подразделения ИБ (рабочий документ)
- Библиотека знаний (электроных и бумажных носителей)
- Журнал учета посещения мероприятий и обучения по ИБ (при необходимости, рабочий документ)
Рекомендуемая периодичность: 2-4 раза в год
P.S. Меня спросили в ФБ "А что же ИБ шники тогда вообще делают ?". Отвечаю: "А по разному: могут заявки согласовывать, могут СЗИ настраивать, могут документы писать, инциденты рассматривать. Иногда просто работу изображают..."
P.S. Меня спросили в ФБ "А что же ИБ шники тогда вообще делают ?". Отвечаю: "А по разному: могут заявки согласовывать, могут СЗИ настраивать, могут документы писать, инциденты рассматривать. Иногда просто работу изображают..."
