Страницы

четверг, 22 ноября 2018 г.

Управление ИБ в технологической Компании


Для упрощения изложения, под «применением» будем подразумевать стандартную модель жизненного цикла систем (потенциально, покупных систем) [1]. Можно выделить следующие направления деятельности службы информационной безопасности внутри Компании:
  • Организационно-методологическая деятельность.
  • Применение информационно-коммуникационных активов IT.
  • Применение специализированных информационно-технологических средств ИБ.
  • Применение инженерно-технических систем безопасности.
  • Применение методов «Белой шляпы».

Эти направления деятельности различаются по базовым моделям управления и, соответственно, методам управления, подразумевают владение различными компетенциями в соответствующих предметных областях. Каждое из этих направлений деятельности характеризуется большими объемами нормативно-справочной информации, имеет высокий уровень сложности и свою специфику для Компании.

Традиционно, к зоне ответственности службы ИБ Компании относится только одно из перечисленных направлений деятельности - по применению специализированных средств ИБ. Это связано с небольшими ресурсами, выделяемыми в Компании на ИБ. «Непрофильные для ИБ» направления деятельности выполняются совместно, с привлечением «профильных специалистов» Компании, в директивно задаваемые временные периоды.

Затраты Компании на ИБ обычно формируются на основе:
  • предложений от службы ИБ;
  • оценки фактических потерь бизнеса в результате инцидентов по линии информационной безопасности;
  • оценки возможных последствий от нарушения требований регуляторных органов.

Конструктивные выводы:

1.     Система информационной безопасности Компании является по факту социотехнической системой и выполняет важную корпоративную функцию, которую сложно спроектировать и построить в отсутствие корпоративных архитектурных решений.
2.     При построении архитектуры системы информационной безопасности Компании для оценки текущего уровня безопасности, рекомендуется учитывать:
  • отраслевые и международные стандарты по ИБ и проведению работ;
  • принцип «слабого звена»;
  • оценки времени обнаружения атаки;
  • график восстановления;
  • наличие информации для анализа уязвимости в инциденте и последующей защиты.

Негативные выводы:

Находясь на «стороне Добра» не следует заниматься подготовкой и пропагандой информационных материалов для «темной стороны».

[1] Жизненный цикл системы - https://ru.wikipedia.org/wiki/Жизненный_цикл_системы

Автор: на
Ярлыки: ,

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)