Переведено через Яндекс-Переводчик. Не пугайтесь :)
Программа информационной безопасности состоит из мероприятий, используемых для выявления и устранения рисков. На тактическом и стратегическом уровнях все мероприятия в рамках программы выполняют эту цель. Программа обеспечения безопасности также основана на результатах; когда разрабатывается стратегия, целями стратегии являются желаемые конечные состояния или результаты. Задачи и проекты, выполняемые в рамках программы, приближают организацию к этим желаемым результатам.
Уставной документ определяет основные долгосрочные цели программы обеспечения безопасности, а также определяет роли и обязанности. Устав, как правило, будет определите объем программы — отделы, бизнес-подразделения и местоположения, которые будут подпадать под действие программы. Дорожная карта - это стратегический документ, в котором описываются шаги, которые необходимо предпринять для реализации ключевых целей.
Структуры управления безопасностью - это модели для общей работы программы безопасности. Как правило, эти структуры являются высокоуровневыми и включают ключевые виды деятельности, такие как управление рисками и управление.
Архитектура безопасности отражает общее видение, а также детали, определяющие роль технологий и защиты активов. Открытая группа Платформа архитектуры (TOGAF) и платформа Захмана - это две архитектурные платформы, которые можно использовать для создания архитектуры безопасности.
Управление безопасностью - это набор действий, которые позволяют руководству быть видимым и осуществлять контроль над программой безопасности. Ключом к успешному управлению является создание руководящего комитета по безопасности или совета безопасности, состоящего из заинтересованных сторон со всего бизнеса.
Управление рисками - это процесс жизненного цикла, используемый для выявления, анализа и устранения рисков. Четыре варианта обработки рисков - это принятие, смягчение, передача и избегать. Эти решения по управлению рисками должны приниматься высшим руководством или руководящим комитетом исполнительного уровня. Процедуры, включая решения о рисках, должны быть задокументированы и сохранены как часть деловой документации программы безопасности.
Жизненный цикл управления рисками состоит из регулярных и специальных оценок рисков. В ходе типичной оценки рисков выявляются и оцениваются активы и угрозы для них. Анализ рисков - это детальный вид деятельности, который используется для лучшего понимания отдельных рисков и изучения различных вариантов снижения рисков и лечения рисков.
Оценка рисков состоит из идентификации активов, анализа угроз, выявления уязвимостей, анализа вероятности и воздействия. Оценка рисков продолжается качественным, полуколичественным или количественным анализом рисков.
Организации проводят внутренние и внешние аудиты и обзоры в рамках своих общих усилий по определению эффективности своих механизмов контроля. Как и при оценке рисков, организация должна надлежащим образом охватывать и расширять возможности проектов аудита, чтобы иметь достаточные ресурсы для успешного выполнения и завершите аудит. Самооценка контроля - это форма внутреннего аудита, проводимая владельцами контроля в качестве средства усиления подотчетности за эффективность контроля.
При разработке политики безопасности менеджеру по безопасности необходимо тщательно взвесить множество соображений, включая применимое законодательство, устойчивость к рискам, средства контроля и организационную культуру. Политика безопасности должна соответствовать бизнесу, а также его средствам контроля.
Управление рисками сторонних организаций - это важнейшая деятельность, целью которой является выявление рисков в сторонних организациях, имеющих доступ к критически важным или конфиденциальные данные или которые выполняют важные операционные функции. Для выявления рисков и управления ими необходимы различные методы, поскольку многие третьи стороны недостаточно прозрачны в отношении своих внутренних операций и рисков.
Программы обеспечения безопасности включают в себя различные административные мероприятия, которые жизненно важны для их успеха. Одним из важных факторов успеха является развитие стратегических партнерских отношений со многими внутренними подразделениями организации, а также с внешними организациями и агентствами. Эти партнерские отношения обеспечивают безопасность менеджер, чтобы лучше влиять на внутренние события, узнавать больше о внешних событиях и получать помощь от внешних организаций по мере необходимости. Менеджеры по безопасности должны понимать, как разрабатывать бизнес-кейсы для обеспечения финансирования проектов в области безопасности. Вместо того, чтобы сосредоточиться на возврате инвестиций (ROI), менеджеры по безопасности должны сосредоточиться на снижении рисков и на том, как каждый проект способствует достижению стратегических целей.
Мониторинг событий - это деятельность, посредством которой события безопасности, происходящие в информационных системах, будут доведены до сведения сотрудников службы безопасности, которые могут действовать на них можно исправлять ситуации и избегать инцидентов.
Управление уязвимостями - это деятельность, при которой выполняются задачи по выявлению уязвимостей в информационных системах, за которыми следуют исправления, такие как установка исправлений безопасности или изменение конфигураций безопасности.
Безопасное проектирование и разработка сосредоточены на безопасной разработке приложений и систем, которые не содержат эксплуатируемых дефектов безопасности по дизайну, а также на защите систем и информации, связанных с проектированием и разработкой, таких как исходный код.
Для защиты сетей (а также систем и приложений, которые в них находятся) используется несколько средств, включая брандмауэры, сегментацию сети, системы предотвращения вторжений, обнаружение сетевых аномалий, анализаторы пакетов, фильтры веб-контента, брокеры безопасности облачного доступа, фильтры DNS, фильтры для спама и фишинга и контроль доступа к сети.
Системы конечных точек, включая настольные компьютеры, ноутбуки, планшетные компьютеры и смартфоны, требуют особых средств защиты для защиты их от взлома.
Управление идентификацией и доступом состоит из технологий и видов деятельности обеспечить, чтобы только уполномоченный персонал имел доступ к системам и информации. Поскольку так много инцидентов в области безопасности являются результатом человеческой ошибки, обучение по вопросам безопасности является важным мероприятием, которое помогает всему персоналу лучше понять опасности, вызванные неправильным суждением и недостатком внимания.
Средства контроля безопасности данных помогают гарантировать, что только авторизованный персонал может получать доступ, добавлять, удалять и обновлять бизнес-информацию.
Для защиты информации часто используются несколько элементов управления в сочетании, включая средства контроля доступа, криптография, резервное копирование и восстановление, предотвращение потери данных, брокеры безопасности облачного доступа и аналитика поведения пользователей.
Управление ИТ-услугами представляет собой совокупность оперативных мероприятий, направленных на обеспечение качества ИТ-услуг. Эти действия включают несколько бизнес-процессов, включая службу поддержки, управление инцидентами, управление проблемами, управление изменениями, управление конфигурацией, управление выпусками, управление уровнем обслуживания, управление финансами, управление производительностью, управление непрерывностью обслуживания и управление доступностью.
Средства контроля и механизмы контроля используются для обеспечения желаемых результатов. Необходимо тщательно продумать меры контроля, поскольку каждый из них потребляет ресурсы. Менеджеры по безопасности должны понимать различные типы контроля (например, превентивный, детективный, сдерживающий, ручной, автоматический и т.д.), Чтобы можно было внедрить правильные типы контроля.
Показатели используются для измерения ключевых видов деятельности и используются для определения того, достигаются ли ключевые цели. Менеджеры по безопасности должны тщательно выбирать показатели и учитывать аудиторию для каждого из них.
Notes
• Привлечение заинтересованных сторон со всего бизнеса поможет обеспечить успех программы обеспечения безопасности. Это связано с тем, что заинтересованные стороны будут чувствовать, что у них есть право голоса в том, как обеспечивается безопасность в организации.
• В типичной программе обеспечения безопасности менеджер по безопасности выберет структуру управления в качестве отправной точки, а затем добавит, изменит или удалит элементы управления с течением времени в результате процесса управления рисками. Первоначальную систему контроля следует рассматривать только как отправную точку, а не как набор средств контроля, которыми организация должна постоянно управлять.
• При выполнении оценки рисков менеджер по безопасности обычно выбирает активы для оценки и использует общий список типичных угроз, таких как список, содержащийся в NIST SP 800-33, “Руководство по проведению оценки рисков Оценки”. Менеджер по безопасности добавит в этот список другие соответствующие угрозы.
• Результаты оценки рисков могут привести к одному или нескольким дополнениям к реестру рисков организации.
• Хотя политика безопасности должна охватывать широкий круг тем, менеджер по безопасности может свободно включать их во всеобъемлющий документ или в отдельные документы.
• Управление рисками сторонних организаций лучше всего рассматривать как расширение программы управления рисками организации со специальными процедурами для проведения оценки рисков сторонних организаций, которые хранят, обрабатывают или передают конфиденциальные или важные данные от имени организации или выполняют критически важные операции.
• Из-за нехватки квалифицированных сотрудников службы безопасности во всем мире менеджеру по безопасности особенно важно уделять особое внимание состоянию и развитию сотрудников службы безопасности, чтобы обеспечить их привлечение, выполнение задач и адекватную компенсацию.
• Менеджеры по безопасности должны избегать ловушки возврата инвестиций или возврата инвестиций в безопасность и вместо этого сосредоточить бюджетные усилия на снижении рисков.
• Менеджеры по безопасности должны противостоять искушению использовать все виды технологий сетевой защиты и вместо этого внедрять их в ответ на конкретные риски и угрозы.
• По мере того как организация переходит от аутентификации отдельных систем и приложений к централизованной аутентификации, внедрение более строгого контроля паролей, а также многофакторной аутентификации становится все более важный. Это связано с тем, что последствия взлома учетных данных возрастают, поскольку эти учетные данные предоставляют доступ к потенциально многим системам.
• Несмотря на наиболее эффективный контроль и наилучшие намерения со стороны сотрудников службы безопасности, сотрудники, которые намерены украсть внутреннюю информацию, обычно способны это сделать. Вместо того чтобы вкладывать все силы в превентивный контроль, необходимо уделить некоторое внимание детективному контролю.
• Без эффективного управления ИТ-услугами ни один менеджер по безопасности не может надеяться, что информационная безопасность станет действительно эффективной.
• Менеджеры по безопасности предпочитают превентивный контроль, но иногда им приходится довольствоваться детективным контролем.
• Выбор системы контроля менее важен, чем процесс управления рисками, который со временем превратит ее в необходимые средства контроля.
• Многим организациям необходимо внедрить несколько систем контроля в соответствии с применимыми нормативными актами и другими обязательствами. В таких случаях менеджерам по безопасности следует рассмотреть возможность их объединения в единую систему контроля.
• Для показателей безопасности решающее значение имеют контекст и аудитория.
• Всегда есть возможности для совершенствования.
