18 Сентября, 2012

ТОП 10 регулярных задачи ИБ-шника, которые постоянно откладываем или не делаем

Andrey Prozorov
Как мы знаем, все задачи, которые решают специалисты служб (отделов, департаментов...) информационной безопасности (далее - ИБ) можно условно разделить на 3 группы: стратегические, тактические и операционные. Решение стратегических задач ведет нас к отдаленным целям и задает общий вектор развития. Решение тактических задач предполагает получение определенных выгод и преимуществ в среднесрочной перспективе. Ну, а операционные задачи просто надо выполнять...
В данном посте я напомню про такие задачи ИБ-шника ("in-house"), которые необходимо регулярно выполнять, но тем не менее часто так случается, что их игнорируют сознательно ("сейчас не до того", "есть более важные задачи") и/или не осознанно ("забыл", "а я и не знал").

Итак, перечень задач и комментарии далее (много букв)...

name='more'>

1.  Пересмотр ожиданий заинтересованных лиц (stakeholders)

Наша задача - по максимуму удовлетворять потребности и ожидания заинтересованных сторон, которыми являются:
  • руководство/владельцы компании;
  • руководители бизнес-подразделений;
  • руководство и сотрудники подразделений ИТ;
  • сотрудники подразделения ИБ;
  • рядовые сотрудники организации;
  • партнеры и поставщики;
  • ...
От того насколько успешно мы сможем помогать людям достигать того, чего они хотят, и удовлетворять их критерии, напрямую зависит и наша карьера, и зарплата, и скорость и качество совместной работы, и атмосфера в коллективе.
Будьте готовы, что порой нам придется совместить (или хотя бы попытаться) противоречивые ожидания (например, обеспечение безопасности и удобства использования информации; скорость согласования проектов ИТ и обеспечение определенного уровня безопасности уровня новых систем, и пр.).

Результат
  • Актуализированный перечень заинтересованных сторон и их ожиданий (рабочий документ).
Рекомендуемая периодичность: 1-2 раза в год

2. Пересмотр и анализ области защиты

Сотрудники подразделения ИБ должны четко понимать, что они защищают, какие есть критичные элементы в общей системе обработки информации. Это нужно для общего планирования задач ИБ и определения приоритетов работ. Собранная информация также пригодится если мы захотим реализовать какой-либо крупный и/или комплексный проект по ИБ, например: оценить риски ИБ, внедрить и сертифицировать СУИБ по ISO 27001, построить систему защиты ПДн и т.д.

Результат
  • Комплект рабочих или официальных (утвержденных) документов:
    • Схема орг.-штатной структуры организации;
    • Общая схема и описание сети (кол-во и типы рабочих станций и серверов, сегменты сети, мобильные устройства, средства защиты, точки выхода в сеть Интернет и другие сети);
    • Перечень и краткое описание основных АС;
    • Перечень критичных серверов и рабочих станций;
    • Общая физическая схема расположения подразделений организации;
    • Перечень используемых средств защиты и мониторинга;
    • Перечень системных администраторов (с указанием их зон ответственности);
    • Перечень лиц, допущенных в серверные помещения.
Рекомендуемая периодичность: 2-4 раза в год

3. Анализ внешних нормативных документов 

Сотрудники подразделения ИБ должны знать требования каких нормативно-правовых документов (например, законов РФ и постановлений Правительства РФ, нормативных документов регулирующих органов (в том числе и отраслевых)), документов вышестоящих организаций, а также внешних контрактов, должны быть выполнены в организации. Необходимо регулярно актуализировать перечень таких документов.

Результат
  • Перечень внешних нормативных документов (рабочий документ)
Рекомендуемая периодичность: 1-2 раза в год

4. Постановка целей и определение приоритетов

Необходимо регулярно ставить цели и приоритеты развития ИБ (я рекомендую выбирать 3 главные цели на год и квартал). Желательно согласовать их со своим руководством. Вроде бы задача простая, но обычно к ней относятся лишь формально или забывают о своих целях и приоритетах при росте числа операционных задач. А у Вас определены и документированы долгосрочные и краткосрочные цели?

Результат
  • Перечень целей подразделения ИБ (рабочий документ)
Рекомендуемая периодичность: в зависимости от горизонта планирования

5. Актуализация перечня внутренних документов, регламентирующих ИТ и ИБ

Сотрудники подразделения ИБ должны понимать, какие внутренние документы организации определяют требования и процедуры по ИТ и ИБ, какие документы определяют ответственность, какие есть шаблоны и пр. Важно не просто вести такой список, но и понимать статус документа (например, "актуальный", "устарел, требуется пересмотр", "отменен", "проект", "шаблон" и пр.). 

Результат
  • Перечень внутренних документов по ИТ и ИБ (рабочий документ)
  • План по доработке/пересмотру внутренних документов  (рабочий/официальный документ)
Рекомендуемая периодичность: 1-2 раза в год

6. Проведение внутреннего аудита ИБ

Сотрудники подразделения ИБ должны не только определять/транслировать требования по защите информации (например, формально разрабатывая и внедряя политики и процедуры ИБ), но и проверять, а выполняются ли они. И в случае если они не выполняются, то либо все же "заставить" выполнять, либо пересмотреть их (например, некоторые процедуры и требования ИБ работают лишь на бумаге, и сотрудники их игнорируют, т.к. они бессмысленны и неудобны).

Результат
  • Отчет по результатам внутреннего аудита ИБ +  Краткий отчет руководству (официальный документ)
  • План по приведению в соответствие (официальные документы)
Рекомендуемая периодичность: 1 раз в год

7. Сбор и анализ показателей ИБ

Желательно определить перечень показателей (метрики и KPI), которые мы сможем использовать для анализа системы ИБ и принятия управленческих решений. Важно понимать, что в большинстве случаев числа ничего не значат до тех пор, пока мы не определим допустимые границы (как в большую, так и в меньшую сторону). Меня всегда умиляют подобные численные показатели: "найдено 200 уязвимостей", "выдано 20 ноутбуков", "проведено обучение основам ИБ 100 человек".
Желательно использовать одни и те же показатели на протяжении некоторого периода времени, так мы сможем отследить динамику изменений. Также рекомендую не выдумывать большого числа показателей, ориентируйтесь на 2 критерия: сколько времени требуется для получения данного показателя, как много информации о системе ИБ он дает (1й старайтесь уменьшать, 2е увеличивать).

Результат
  • Отчет по результатам анализа показателей  ИБ +  Краткий отчет руководству (официальные документы)
  • План по совершенствованию ИБ  (рабочий/официальный документы)
Рекомендуемая периодичность: 1 раз в год

8. Сканирование и анализ уязвимостей ИТ-инфраструктуры

Проводить анализ уязвимостей ИТ-инфраструктуры важно для понимания реальной защищенности сети. Если у нас не хватает ресурсов (денег, времени, персонала, знаний, сканеров уязвимостей) для проведения таких работ самостоятельно, то рекомендуется приглашать внешних консультантов.  

Результат
  • Отчет по результатам анализа уязвимостей (рабочий/официальный документ)
  • План по устранению уязвимостей  (рабочий/официальный документы)
Рекомендуемая периодичность: 1-2 раза в год

9. Обучение и повышение осведомленности сотрудников организации

В рамках повышения осведомленности и обучения нам необходимо вести "просветительскую работу", рассказывать сотрудникам организации об основах ИБ (про угрозы и базовые механизмы защиты), объяснять требования ИБ, принятые в организации, давать советы, как лучше (с точки зрения ИБ) поступить в той или иной ситуации. Форматы могут быть любые, начиная от внутренних тренингов и семинаров, до рассылок электронных писем и размещения мотивирующих картинок на стенах. Выбирайте сами...

Результат
  • Материалы (информация) для ознакомления персонала
  • Журнал учета (при необходимости, официальный документы)
Рекомендуемая периодичность: 2-12 раз в год

10. Обучение и повышение осведомленности сотрудников подразделения ИБ

"Знаешь ли, приходится бежать со всех ног, чтобы только остаться на том же месте!"
Необходимо постоянно развивать свои навыки, получать новые актуальные знания в вопросах ИБ. 
Для этого мы можем:
  • посещать мероприятия по ИБ;
  • посещать мероприятия по смежным областям (ИТ, управление проектами, обеспечение физической безопасности;
  • учиться на курсах по ИБ и ИТ;
  • смотреть вебинары по ИБ и ИТ;
  • читать книги, статьи по ИБ и ИТ;
  • общаться в профессиональных группах по ИБ и ИТ;
  • готовиться и сдавать экзамены по ИБ и ИТ.

Результат
  • Перечень компетенций сотрудников подразделения ИБ (рабочий документ)
  • Перечень профессиональных сертификатов сотрудников подразделения ИБ  (рабочий документ)
  • Библиотека знаний (электроных и бумажных носителей)
  • Журнал учета посещения мероприятий и обучения по ИБ (при необходимости, рабочий документ)
Рекомендуемая периодичность: 2-4 раза в год


P.S. Меня спросили в ФБ "А что же ИБ шники тогда вообще делают ?". Отвечаю: "А по разному: могут заявки согласовывать, могут СЗИ настраивать, могут документы писать, инциденты рассматривать. Иногда просто работу изображают..."