Данная заметка завершает серию заметок, посвященных рассмотрению понятия операционной безопасности (защиты информации на операционном уровне) со стороны ряда авторитетных, на мой взгляд, источников.
В данных заметках рассматривался нижней уровень деятельности специалистов по защите информации:
- стратегический;
- тактический;
- операционный.
В качестве источников были рассмотрены:
- семейство стандартов ISO/IEC 27000 (ч.1, );
- публикации серии ITIL (ч.2, );
- публикации серии COBIT 5 (ч.3, );
- публикации серии NIST (ч.4, );
- домен из сертификации CISSP (ч.5, ).
После их последовательного рассмотрения, пришел к выводу, что сравнить их «в лоб» не совсем корректно, т.к. в каждом из источников есть своя специфика, я бы даже сказал, ориентация.
Дополнительно стоит отметить, что некоторые активности, которые в одном источнике находятся в блоке «Operations», в другом – попадают в другие или отдельные блоки (например, управление инцидентами, управление ИБ-сервисами на аутсорсинге), что не позволяет однозначно поставить «+» или «-» в сравнительную таблицу.
В итоге сформирован список активностей, который не претендует на 100% полноту, но учитывает, в т.ч. мой личный опыт работы администратором безопасности информации:
- Управление доступом (Access management);
- Защита от вредоносного ПО (Protection from malware);
- Управление изменениями (Change management);
- Управление уязвимостями (Vulnerability management);
- Управление резервным копированием и восстановлением данных (Backup and restore management);
- Мониторинг (Monitoring);
- Управление событиями (Event management);
- Управление инцидентами (Incident management);
- Управление инженерным обеспечением (F acilit y management);
- Управление ИБ-сервисами на аутсорсинге (Manage outsourced IT services);
- Аудит (Audit).
Теперь встает вопрос, кто это должен делать?
И здесь важно понимать принципы работы каждой отдельно взятой организации и численность ИБ-подразделения.
Если обратить внимание, то большая часть активностей идет с «префиксом» управление, т.е. каждая из них должна быть:
- спланирована;
- организована;
- реализована;
- проконтролирована.
Вот все кроме реализации (т.е. планирование, организация и котроль) – это зона ответственности ИБ-персонала, а вот реализации реализация нет, точнее не всегда.
В большинстве случаев реализация возлагается на ИТ-персонал или на аутсорсинговый ресурс.
И только крупные организации, у которых в рамках ИБ-подразделения есть ресурс, так называемый IT Security, может позволить себе это делать силами непосредственно ИБ-подразделения.
Успехов в планировании, организации, реализации и контроле вашей Operations security!
Operations security (ч.6)
Operations security (ч.6)
Красная или синяя таблетка?
В Матрице безопасности выбор очевиден
