Для упрощения изложения, под «применением» будем
подразумевать стандартную модель жизненного цикла систем (потенциально,
покупных систем) [1]. Можно выделить следующие направления деятельности службы информационной
безопасности внутри Компании:
- Организационно-методологическая деятельность.
- Применение информационно-коммуникационных активов IT.
- Применение специализированных информационно-технологических средств ИБ.
- Применение инженерно-технических систем безопасности.
- Применение методов «Белой шляпы».
Эти направления деятельности различаются по базовым моделям
управления и, соответственно, методам управления, подразумевают владение
различными компетенциями в соответствующих предметных областях. Каждое из этих
направлений деятельности характеризуется большими объемами
нормативно-справочной информации, имеет высокий уровень сложности и свою
специфику для Компании.
Традиционно, к зоне
ответственности службы ИБ Компании относится только одно из перечисленных
направлений деятельности - по применению специализированных средств ИБ. Это
связано с небольшими ресурсами, выделяемыми в Компании на ИБ. «Непрофильные для
ИБ» направления деятельности выполняются совместно, с привлечением «профильных
специалистов» Компании, в директивно задаваемые временные периоды.
Затраты Компании на ИБ обычно формируются на основе:
- предложений от службы ИБ;
- оценки фактических потерь бизнеса в результате инцидентов по линии информационной безопасности;
- оценки возможных последствий от нарушения требований регуляторных органов.
Конструктивные выводы:
1.
Система информационной безопасности Компании
является по факту социотехнической системой и выполняет важную корпоративную
функцию, которую сложно спроектировать и построить в отсутствие корпоративных архитектурных
решений.
2.
При построении архитектуры системы
информационной безопасности Компании для оценки текущего уровня безопасности, рекомендуется
учитывать:
- отраслевые и международные стандарты по ИБ и проведению работ;
- принцип «слабого звена»;
- оценки времени обнаружения атаки;
- график восстановления;
- наличие информации для анализа уязвимости в инциденте и последующей защиты.
Негативные выводы:
Находясь на «стороне Добра» не следует заниматься
подготовкой и пропагандой информационных материалов для «темной стороны».
Комментариев нет:
Отправить комментарий