CISM. Security Governance. Chapter Review

CISM. Security Governance. Chapter Review

Переведено через Яндекс-Переводчик. Не пугайтесь :)

Управление информационной безопасностью - это нисходящее управление и контроль безопасности и управления рисками в организации. Управление обычно осуществляется через руководящий комитет, состоящий из руководителей со всей организации. Руководящий комитет отвечает за определение общего стратегического направления и политики, обеспечение соответствия стратегии безопасности ИТ- и бизнес-стратегии и целям организации. Пожелания руководящего комитета реализуются с помощью проектов и задач, которые направляют организацию безопасности к стратегическому цели. Руководящий комитет может отслеживать прогресс с помощью показателей и сбалансированной системы показателей.

Чтобы программа информационной безопасности была успешной, она должна соответствовать бизнесу и его общей миссии, целям и задачам, а также стратегии. Программа обеспечения безопасности должна учитывать представление организации о стоимости активов, культуре, терпимости/склонности к риску, юридических обязательствах и рыночных условиях. Успешная и согласованная программа обеспечения безопасности не руководит организацией, а позволяет и поддерживает ее в выполнении своей миссии и достижении своих целей.

Склонность к риску - это уровень риска, который организация готова принять при реализации своей миссии, стратегии и целей. Решения по управлению рисками и принятию рисков должны быть назначены и приняты соответствующими владельцами бизнеса и руководителями, которые несут ответственность за эти решения. Главный сотрудник по информационной безопасности находится там для облегчения и передачи информации и только в определенных случаях будет владеть предметом риска.

Управление безопасностью осуществляется с помощью тех же средств, как это управление: он начинается с правления уровне, что задает тон риска аппетит и осуществляется через главный сотрудник по информационной безопасности, кто разрабатывает политику безопасности и конфиденциальности, а также стратегической безопасности программ, в том числе обеспечение программное обеспечение, управление изменениями, поставщик  управление, управление конфигурацией, управление инцидентами, управление уязвимостями, обучений, а также самосознание и управление доступом.

Управление безопасностью используется для определения ролей и обязанностей для деятельности, связанной с безопасностью, на всех уровнях организации, от совета директоров до отдельных сотрудников. Роли и обязанности определены в описании должностных обязанностей, в документах по политике и процессам, а также в таблицах RACI. Совет директоров в определенной команде отвечает за надзор за всеми видами деятельности в организации. Советы директоров выбирают и управляют главным исполнительным директором, который отвечает за разработку управленческой функции для управления активами, бюджетами, персоналом, процессами и рисками.

Руководящий комитет по безопасности отвечает за стратегическое планирование безопасности. Руководящий комитет по безопасности разработает и утвердит политику безопасности и назначит менеджеров для разработки и поддержания процессов, процедур и стандартов, все из которых должны согласовываться друг с другом и с общей миссией, стратегией, целями и задачами организации. Главный сотрудник по информационной безопасности разрабатывает стратегии безопасности, ориентированные на бизнес, которые поддерживают общую миссию и цели организации, и отвечает за общую программу безопасности организации, включая политику разработка, управление рисками и, возможно, некоторые оперативные мероприятия, такие как управление уязвимостями, управление инцидентами, управление доступом и обучение по вопросам безопасности. В некоторых организациях высший руководитель службы безопасности имеет звание главного сотрудника по безопасности или главного сотрудника по информационным рискам.

Главный специалист по вопросам конфиденциальности отвечает за защиту и надлежащее использование конфиденциальной личной информации (часто называемой информацией, позволяющей установить личность). Обязанности CPO по защите информации заключаются в следующем иногда совместно с CISO, который несет общие обязанности по защите информации.

Практически все другие роли в ИТ отвечают за безопасность, включая разработку и интеграцию программного обеспечения, управление данными, управление сетью, управление системами, операции, службу поддержки, внутренний аудит и всех сотрудников.

Программа формальных показателей предоставляет как качественные, так и количественные данные об эффективности многих элементов программы и операций безопасности организации. Показатели могут быть разработаны с помощью интеллектуального метода: конкретные, измеримые, достижимые, актуальные и своевременные. Показатели должны соответствовать миссия, стратегия и цели организации. Некоторые показатели можно использовать для отчета о результатах за недавнее прошлое, но должны быть некоторые показатели, которые служат опережающими показателями или побуждают руководящую команду к действию.

Общим недостатком программы метрик является ее неспособность предоставить соответствующие показатели для различных аудиторий. Например, сообщение совету директоров о количестве пакетов, отброшенных брандмауэром, или о количестве вирусов, обнаруженных антивирусом, не представляет никакой ценности для этой аудитории. В качестве организация разрабатывает свою программу показателей, она должна позаботиться о разработке показателей, которые важны для каждой аудитории. Сбалансированная система показателей безопасности также может быть использована для описания высокого уровня эффективности программы безопасности организации.

Бизнес-модель информационной безопасности, разработанная ISACA, представляет собой руководство по управлению безопасностью, ориентированное на бизнес и основанное на рисках. BMIS состоит из четырех элементов: организация, люди, процесс и технология. Она состоит из шести динамических взаимосвязей: культура (соединяющая организацию и людей элементы), управление (соединяющие элементы организации и процесса), архитектура (соединяющие элементы организации и технологии), возникновение (соединяющие элементы людей и процессов), обеспечение и поддержка (соединяющие элементы процесса и технологии), человеческие факторы (соединяющие элементы людей и технологий). BMIS помогает стратегу понять динамику между четырьмя элементами и то, как они могут проявляться.

Ключевым выводом из BMIS является то, что все связано со всем остальным. Стратегия - это план достижения определенного набора целей, позволяющий реализовать видение организации, которая должна быть успешно достигнута. Цели - это желаемые будущие состояния в организации и, в контексте информационной безопасности, в программе информационной безопасности организации. Стратегия должна быть ориентирована на бизнес, приносить пользу, оптимизировать ресурсы и быть измеримой.

Разработка общей стратегии безопасности включает принятие или согласование с системой контроля. Большинство организаций выбирают стандартную систему управления, такую как COBIT, NIST 800-53, ISO/IEC 27001, HIPAA или PCI-DSS. Затем, в рамках управления рисками организации процессы, дополнительные средства контроля добавляются в соответствии с требованиями выявленных рисков.

Разработка стратегии может включать установление желаемых уровней риска. Это может быть выражено в качественном или количественном выражении, в зависимости от зрелости организации.

Для разработки стратегии требуется много ресурсов. Эти ресурсы включают несколько типов информации, которые раскрывают текущее состояние организации, включая оценки рисков, оценки уязвимостей, анализ влияния на бизнес, показатели, реестр рисков и журнал инцидентов. Несколько других входов требуются документы, определяющие структуру программы обеспечения безопасности, включая политику, стандарты, руководящие принципы, процессы и процедуры, страхование и аутсорсинговые услуги. Чтобы разработать стратегию, специалист по стратегии безопасности сначала должен понять текущее состояние организации, а затем определить одно или несколько желаемых будущих состояний. Анализ пробелов помогает стратегу понять недостающие возможности. Разработка дорожной карты определяет шаги по развитию недостающих возможностей и расширению существующих возможностей, с тем чтобы стратегия была реализована.

Специалист по стратегии безопасности может выбрать использование модели анализа сильных и слабых сторон, возможностей и угроз (SWOT) в поддержку стратегического планирования. Стратег может также использовать модели зрелости возможностей, чтобы помочь определить соответствующие будущие состояния ключевых процессов безопасности. Часто необходимо выстроить бизнес-обоснование так, чтобы исполнительное руководство согласилось поддержать и профинансировать стратегию. Бизнес-обоснование обычно включает формулировку проблемы, за которой следует описание текущего состояния, желаемого будущего состояния, требований, подхода и плана достижения стратегия. Часто бизнес-кейс рассматривается руководящим комитетом бизнеса или ИТ, состоящим из заинтересованных сторон бизнеса.

Специалист по стратегии безопасности должен знать о потенциальных препятствиях на пути достижения стратегических целей, включая культуру, организационную структуру, существующие возможности персонала, бюджеты, время и юридические и нормативные обязательства. Стратегия, ориентированная на бизнес, должна учитывать эти препятствия и сводить их к минимуму, если стратегия должна быть одобрена и реализована.

Notes

• Добавление информационной безопасности в качестве части фидуциарных обязанностей членов совета директоров и руководителей является важной и растущей тенденцией в современном бизнесе.

• Руководители служб безопасности и совет директоров отвечают за внедрение модели управления безопасностью, охватывающей стратегию и мандаты в области информационной безопасности. Таким образом, в отрасли наблюдается переход от пассивного правления к более активному, когда речь заходит о вопросах кибербезопасности.

• Программа обеспечения безопасности должна соответствовать общим целям организации. миссия, цели и задачи. Это означает, что главный специалист по информационной безопасности и другие лица должны быть осведомлены о стратегических инициативах и выполнении стратегических целей организации и участвовать в них.

• Склонность к риску обычно выражается в качественных терминах, таких как “очень низкая толерантность к риску” и “отсутствие толерантности к риску”. Различные виды деятельности в организации будут иметь разные склонности к риску.

• Определения ролей и обязанностей организации могут соответствовать или не соответствовать ее культуре подотчетности. Например, организация могут иметь четкие определения обязанностей, задокументированные в документах политики и процессов, и все же редко могут привлекать отдельных лиц к ответственности, когда происходят предотвратимые события безопасности.

• В идеале совет директоров организации должен быть осведомлен о рисках информационной безопасности и может дать указание организации принять меры предосторожности для защиты организации. Однако во многих организациях совет директоров по-прежнему не участвует в вопросах информационной безопасности; в этих случаях все еще возможно иметь успешную программу информационной безопасности, основанную на рисках, при условии, что это будет поддержано высшими руководителями.

• Хотя использование руководящих комитетов по безопасности не требуется, организации считают полезным создание одноуровневых или многоуровневых руководящих групп по безопасности в качестве межфункционального средства выявления рисков безопасности и распространения информации об организации безопасности.

• Ответственность за информационную безопасность несет каждый сотрудник организации; однако средства распределения и контроля обязанностей по обеспечению безопасности между отдельными лицами и группами сильно различаются.

• В настоящее время не существует хорошо известных механизмов обеспечения информационной безопасности метрика. Вместо этого каждая организация должна разработать показатели, которые являются значимыми и применимыми к различным аудиториям, заинтересованным в их получении.

• Методология расчета отдачи от инвестиций в безопасность широко обсуждается, но широко не практикуется, главным образом потому, что трудно рассчитать выгоду от средств контроля безопасности, предназначенных для обнаружения или предотвращения инцидентов, которые происходят нечасто.

• Менеджеры по безопасности, разрабатывающие стратегию информационной безопасности в организации без программы, должны будут полагаться на свой прошлый опыт, анекдотические отчеты о практике и политике в организации.

• Специалисты по стратегии безопасности должны помнить о терпимости каждой организации к изменениям в течение определенного периода времени. Хотя значительный прогресс может быть гарантирован, объем изменений, которые могут быть разумно осуществлены в течение года, ограничен.

• Бизнес-модель информационной безопасности является полезной моделью для понимания качественных взаимосвязей между различными аспектами организации, а также видов деятельности, связанных с этими аспектами.

• Многие организации размышляют над выбором системы контроля. Вместо этого организация должна выбрать структуру, а затем внести коррективы в свои средства контроля в соответствии с требованиями бизнеса. Систему контроля, как правило, следует рассматривать как отправную точку, а не как жесткий и неизменный перечень средств контроля — за исключением случаев, когда в нормативных актах предусмотрено, что средства контроля не могут быть изменены.

• Хотя для специалиста по стратегии безопасности важно понимать текущее состояние организации при разработке стратегической дорожной карты, стратег должен действовать, зная, что никогда не может быть достаточного уровня понимания. Кроме того, если даже был сделан самый тщательный снимок, организация все равно медленно (или, возможно, быстро) меняется. Выполнение стратегического плана заключается в ускорении изменений в определенных аспектах

организации, которая в любом случае медленно меняется.

• Модели зрелости возможностей являются полезными инструментами для понимания уровня зрелости процесса и разработки желаемых будущих состояний. Степень зрелости процессов в организации будет варьироваться, поскольку это подходит для некоторых процессы должны иметь высокую зрелость, в то время как для других приемлемо иметь более низкую зрелость. Правильный вопрос, который следует задать о каждом отдельном процессе, заключается в следующем: каков соответствующий уровень зрелости для этого процесса?

• Каждая организация имеет свою собственную практику разработки бизнес -кейсов для презентации, обсуждения и утверждения стратегических инициатив.

• Специалист по стратегии безопасности должен предвидеть препятствия и ограничения, влияющие на достижение стратегических целей, и рассмотреть возможность уточнения этих целей, чтобы они могли быть реализованы

Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Евгений Шауро

Блог специалиста по информационной безопасности