Убезпеченювання IT — безперервний процес з багатьма зворотними зв'язками в середині і між стадіями життєвого циклу системи IT. Повний зворотний зв'язок наведено на рисунку 1. У більшості випадків зворотний зв'язок пронизує всю основну діяльність процесу захисту IT. Це забезпечує безперервний потік інформації щодо уразливості, загроз і засобів захисту системи IT протягом усіх трьох стадій життєвого циклу системи IT.
Також варто зазначити, що кожна із сфер діяльності організації може визначити унікальні
вимоги щодо захисту IT. Ці сфери повинні взаємно зміцнювати одна одну і весь процес захисту IT, спільно використовуючи інформацію про стан безпеки, що в свою чергу може впливати на процес прийняття керівних рішень.
8 КОРПОРАТИВНА МЕТОДИКА БЕЗПЕКИ IT
8.1Цілі
Цілі (які повинні бути досягнуті), стратегії (як досягнути цих цілей) і методики (правила для досягнення цілей) можна визначити для кожного рівня організації і для кожного ділового підрозділу чи відділу. Для досягнення ефективної безпеки IT необхідно впорядкувати різні цілі, стратегії і методики для кожного організаційного рівня і ділового підрозділу. Узгодженість між відповідними документами, незважаючи на вплив різних точок зору, дуже важлива, оскільки більшість загроз (таких як злом системи, знищення файлів і пожежі) — загальні проблеми ділової активності.
8.2Зобов'язання керівництва
Зобов'язання вищого керівництва щодо питань безпеки IT є важливим завданням і має приводити до офіційно узгодженої й задокументованої корпоративної методики безпеки IT. Корпоративна методика безпеки IT повинна бути отримана з корпоративної стратегії захисту.
8.3Взаємозв'язки методик
Рисунок 2 — Залежності між різними методиками
Відповідно до цього поняття корпоративна методика безпеки IT може бути включена до корпоративного технологічного й методологічного керування, і все це разом формує основу для загальних стратегічних положень в IT. Ці положення повинні містити деякі вагомі твердження на користь захисту, особливо якщо є необхідність узгодження захисту і стратегії. Рисунок 2 показує залежність між різними методиками. Незалежно від документації та адміністративної структури, що її використовують в організації, дуже важливо, щоб різні положення описаних методик були спрямовані, і це підтримає узгодженість.
Інші, деталізованіші, методики захисту IT необхідні для певних систем і служб або для групи систем IT і служб, їх зазвичай описують як методики захисту систем IT. Це важливий аспект керування, оскільки їхній контекст і межі чітко визначені й обґрунтовані діловими і технологічними підставами.
8.4 Елементи корпоративної методики безпеки IT
Корпоративна методика безпеки IT повинна охоплювати принаймні такі розділи:
9 ОРГАНІЗАЦІЙНІ АСПЕКТИ БЕЗПЕКИ IT
9.1 Функції та обов'язки
Безпека IT є міжгалузевою темою і стосується кожного проекту IT, системи і всіх користувачів IT в організації. Відповідний розподіл посад і розмежування обов'язків гарантують, що всі важливі завдання будуть успішно й ефективно виконані.
Цієї мети досягають за допомогою різних організаційних заходів залежно від розміру і структури організації. У кожній конкретній організації мають існувати такі структури:
Як рада з безпеки IT, так і корпоративний контролер безпеки IT повинні мати добре визначені та однозначні обов'язки і мати достатній вплив, щоб гарантувати прив'язку до корпоративної методології безпеки IT. Організація повинна забезпечити надійний зв'язок, а також визначити повноваження й відповідальність корпоративного контролера безпеки IT, ці обов'язки повинні бути схвалені радою з безпеки IT. Перелік цих обов'язків може бути доповнений шляхом зовнішніх консультацій.
Рисунок 3 показує типовий приклад зв'язків між корпоративним контролером безпеки IT, радою з безпеки IT і представниками інших підрозділів в організації, таких як інші відділи безпеки, товариства користувачів і персонал IT. Ці стосунки можуть полягати як у безпосередньому керуванні, так і у функційному. Наприклад, для організовування безпеки IT, зображеної на рисунку 3, використовується три організаційних рівні, їх можна легко пристосувати до будь-якої організації, додаючи або виключаючи відповідні рівні згідно з потребами організації. Невеликі й середні організації можуть мати корпоративного контролера безпеки IT, чиї обов'язки охоплють всі питання, пов'язані з безпекою. Коли функції тісно залежать одна від одної, важливо забезпечити відповідні перевіряння й утримання рівноваги, щоб уникнути концентрації дуже великої кількості обов'язків у однієї особи, без можливості впливу на неї або контролю за нею.
Рисунок 3 — Приклад організовування безпеки IT
9.1.1Рада з безпеки IT
Така рада складається з персоналу необхідного рівня кваліфікації для визначання вимог, розробляння методик, складання програми захисту, аналізування здобутків та видачі вказівок (завдань, рекомендацій) корпоративному контролеру безпеки IT. Для цього може використовуватися уже існуюча рада, або бути створена окрема рада з безпеки IT. Ця рада може засновуватися на наявній структурі:
Для максимальної ефективності роботи в раду повинні входити спеціалісти з базовою підготовкою з захисту і технічних аспектів системи IT, а також представники постачальників послуг і користувачів системи IT. Знання і кваліфікація в усіх цих галузях необхідні для розробляння практичних корпоративних методик безпеки IT.
9.1.2Корпоративний контролер безпеки IT
Оскільки відповідальність за безпеку IT розподілена, то існує ризик, що в результаті ніхто не буде відчувати відповідальності взагалі. Щоб уникнути цього, повинен бути призначений відповідальний за всі питання безпеки IT. Корпоративний контролер безпеки IT повинен діяти як центральна ланка для всіх аспектів безпеки IT в організації. Для цього може бути задіяна вже наявна посада, з додатковими обов'язками, або, що найчастіше доцільно, необхідна окрема посада. Треба надавати перевагу особі, що вже має базовий рівень підготовки з питань захисту IT.
Головні обов'язки корпоративного контролера безпеки IT:
9.1.3Контролер безпеки проекту IT і контролер безпеки системи IT
Індивідуальні проекти або системи повинні мати відповідального за захист, якого називають контролером безпеки IT. У деяких випадках це може бути посада за сумісництвом. Обов'язки керування цими контролерами належать до компетенції корпоративного контролера безпеки IT (або, де можливо, контролера підрозділу безпеки IT). Контролер безпеки в цьому випадку діє як головна ланка всіх аспектів захисту проекту, системи або групи систем. Головні обов'язки цих посадовців:
9.2 Відповідальність
Відповідальність є необхідною для забезпечення ефективного захисту в IT, якщо керування на різних рівнях забезпечується зусиллями конкретних осіб. Бізнесова відповідальність включає в себе і цілі безпеки IT:
Цілі безпеки IT повинні бути оголошені для всієї організації. Кожний службовець чи субпідрядник повинен знати свої функції та обов'язки, їх вплив на захист IT і активно брати участь в досягненні цих цілей.
9.3 Послідовний підхід
Послідовний підхід до захисту IT треба застосовувати до процесів проектування, експлуатування й оновлення. Захист повинен бути невід'ємним складником протягом усього життєвого циклу інформації і системи IT від проектування до знищення.
Організаційна структура, показана на рисунку 3, може підтримувати узгоджений підхід до захисту IT у межах організації. Це, однак, вимагає прив'язки до стандартів, охоплюючи міжнародні, національні, регіональні, промислові і корпоративні стандарти або правила, які вибирають і застосовують згідно з потребами захисту ІТ організації. Технічні стандарти повинні бути доповнені правилами і рекомендаціями щодо їх впровадження, використовування і керування ними.
Переваги використовування стандартів такі:
10 ВИБІР СТРАТЕГІЇ КОРПОРАТИВНОГО АНАЛІЗУВАННЯ РИЗИКУ
Організація з метою поліпшення своєї інформаційної безпеки повинна виробити стратегію керування ризиком, яка відповідає її оточенню і містить засоби, що дають змогу ефективно використати характеристики ризиків. Для цього необхідна стратегія, яка концентрує зусилля для розробляння захисту саме там, де це потрібно, для оптимізування вартісних і часових показників.
Жоден ресурс, ефективне використання або звернення до детального аналізу всіх систем не є ефективним без врахування серйозності ризиків. Підхід, який забезпечує рівновагу між цими екстремальними показниками, передбачає аналіз посадовцями високих рівнів для встановлення потреб в захисті системи IT, а потім проведення докладного досліджування з урахуванням цих потреб. Потреби в захисті будь-якої організації будуть залежати від її розміру, виду ділової активності, який вона здійснює, її оточення і мікрополітики. Корпоративна стратегія аналізування ризику, яку планується вибрати, повинна прямо стосуватися цих аспектів.
У деяких ситуаціях організація вирішує питання відносно застосування засобів захисту або призупинення їхньої дії на даному етапі. Таке рішення потрібно приймати тільки після того, як організація ретельно здійснить всі аналізи. Якщо таке рішення прийняте, адміністрація повинна знати всі потенціальні ризики і несприятливі ситуації й імовірність виникнення небажаного інциденту. Без цих відомостей організація може ненавмисно порушити закони або правила і може довести свою ділову активність до потенційного збитку. Рішення і його затвердження про пасивність або відкладання застосування засобів захисту повинні бути прийняті тільки після того, як зроблено докладний розгляд цих та інших можливих несприятливих наслідків.
На основі результатів ретельних аналізів можуть бути вибрані засоби захисту для зменшення ризиків, застосовуючи один із чотирьох варіантів, описаних в 10.1-10.4. В них пояснені переваги і недоліки кожного з варіантів.
10.1 Основний підхід
Перший варіант передбачає вибір багатьох засобів захисту для досягнення базового рівня захисту всіх систем. Ряд стандартних засобів захисту запропоновано в основних документах і практичних рекомендаціях з використовування. Після експертизи основних вимог можна викори-
стати засоби захисту інших організацій, наприклад, міжнародних і державних організацій із стандартизації, промислового сектора або іншої подібної компанії (зі схожою діловою активністю, розмірами, системами IT і застосованнями), заздалегідь їх пристосувавши до своїх потреб. Існує ряд переваг використовування цього підходу: