Смартсорсинг.ру

Сообщество руководителей ИТ-компаний, ИТ-подразделений и сервисных центров

Статьи в блогах Вопросы и ответы Темы в лентах Пользователи Компании Лента заказов Курс по ITSM

Информационная безопасность. Часть 2. Реализация основ и для чего это нужно.

Информационная безопасность. Часть 2. Реализация основ и для чего это нужно.

Как уже говорилось в предыдущей статье, под действие информационной безопасности подпадают все информационные активы предприятия или компании. В данной статье мы рассмотрим общие принципы реализации стандарта, подходящие для большинства компаний. Итак, с чего начинается их защита на практике?

Первое. С определения информационных активов, требующих обеспечения их безопасности. И тут надо еще раз акцентировать внимание, на том, что в первой части было упомянуто вскользь. Обеспечение безопасности информации не означает только предотвращения ее утечки лицам не имеющим к ней права доступа (т.е. обеспечения конфиденциальности) и, следовательно, защиту только потенциально конфиденциальных активов.  Практическое применение информационной безопасности включает в себя и снижение рисков утерять, не предоставить вовремя, и возможности повредить / исказить информацию (т.е. обеспечение доступности и целостности). Поэтому на активы следует смотреть внимательней и шире.

Второе.  Выявление рисков, связанных с каждым отдельным информационным активом. Все вероятные угрозы, и с какой вероятностью эти угрозы (события/ инциденты) могут произойти. Иначе говоря, классический риск менеджмент.

Третье. Разработка мероприятий, мер предупреждения и мер реагирования по каждому выявленному риску/угрозе. Опять таки, риск менеджмент, и, возможно, многим знакомый подход из ITIL.

Четвертое. Формализация первых трех пунктов. Иначе говоря, разработка документной базы. Стандартный перечень документов таков:

  1. Документы верхнего уровня. «Политика информационной безопасности», где описываются общие цели и задачи, ставящиеся перед информационной безопасностью на конкретном предприятии, стремления организации соответствовать стандартам и т.п. В дополнение к политике разрабатываются  разные «концепции обеспечения информационной безопасности на предприятии» или «планы обеспечения безопасности информационных активов компании». Где более подробно описываются методы оценки рисков и активов.
  2. Документы среднего уровня. Документы, описывающие информационные и бизнес-процессы предприятия с точки зрения безопасности и потенциальных рисков. Данные документы уже жестко делятся по типам защищаемой информации. Например, один документ описывает защиту данных, второй будет описывать безопасность коммуникаций… и т.п.
  3. Документы нижнего уровня. Это конкретные инструкции. Как обеспечивать информационную безопасность? Кто обеспечивает?  Что, при каких обстоятельствах и как делать.

Пятое. Внедрение и обучение.  Само собой после того как вы все это жуткое дело задокументировали  вы должны это все внедрить и довести новую политику до сведения персонала компании. Чаще всего они делают все то, что обычно происходит с техникой безопасности — прочитай, если все понял, распишись. В ряде случаев необходимо обучение, собственно, также как и с техникой безопасности.

Кому все это нужно?

Как мы уже поняли, совсем ликвидировать некоторые угрозы невозможно, и информационная безопасность направлена на многие аспекты работы с информационными потоками. Фактически, внедрение информационной безопасности привносит системность в общение с информационными потоками и в работу с происходящими инцидентами. Кому нужна системность?

Есть компании, которые изначально считают систему — лучшим способом ведения бизнеса. Но, таких не много. Чаще о системе не думают, да той поры пока это бизнесу не мешает. И вспоминают лишь тогда, когда системность может принести дополнительные бонусы. Например, прохождение сертификации на тот или иной стандарт (ISO).  И вот тогда начинают спешно внедрять.

Прохождение сертификации

Для получения заводом сертификата по ISO9001,  на его территории проходит ряд аудитов. Как минимум, первоначальный, который выявляет несоответствия и недостатки, и определяет сроки и действия по их устранению. И повторный — проверяет выполнены ли предписания.

Что касается непосредственно ИТ-отдела, в этом стандарте предусмотрен аудит по внедренным основам информационной безопасности.

Вот некоторые его требования:

  • На заводе должно быть отдельное помещение под серверную
  • Серверная должна быть обеспечена системами вентиляции и противопожарной безопасности.
  • Сервера должны быть обеспечены системами бесперебойного питания
  • Сервера должны иметь систему ежедневного и еженедельного (полного) резервного копирования.
  • ИТ-отдел должен иметь огнеупорный сейф (способный держать температуру не менее 2 часов), где должны храниться резервные копии данных с сервера и другая важная документация, например лицензионные соглашения с производителями  ПО.
  • Остальные документы ИТ-отдела должны быть структурированы, распределены по папкам, папки должны быть пронумерованы, и должен быть список с номерами папок и их описанием. Впрочем, это относится ко всем бумажным документам на предприятии.

Вот и все на сегодня.

P.S. Выражаю отдельную благодарность Яковлеву Андрею, за корректировку стандарта. Действительно, на данный момент, обновленной версией ISO17799 является ISO27002.

Дополнительные материалы

Комментарии (0)

    Также рекомендуем