Разработка стратегии информационной безопасности и управления рисками (часть 1)

Опубликовано: 7 Апреля, 2023

Организации постоянно работают над планированием процедур безопасности и управления рисками, которые они устанавливают в рамках своего бизнеса, стремясь отразить неизбежные угрозы безопасности. Поскольку поверхности для атак постоянно появляются, задача защиты информации становится все более сложной, и стратегии безопасности должны распространяться на мобильные платформы, облачные системы и социальные экосистемы.

Важность разработки стратегии информационной безопасности часто упускается из виду. Стратегия безопасности служит дорожной картой для разработки методов обеспечения безопасности, которые можно адаптировать для решения будущих задач. Стратегия безопасности поможет организациям достичь долгосрочных целей безопасности с помощью методов, которые помогут организациям достичь желаемого состояния безопасности в будущем.

По мере того, как пространство угроз расширяется, становясь все более многогранным и фрагментированным, будущие стратегии безопасности меняются. Векторы атак выходят за рамки многих существующих технологий и процедур защиты, но при стратегическом подходе и планировании организации могут минимизировать риск.

Чтобы обеспечить безопасность вашей организации в долгосрочной перспективе, организациям необходимо определить и понять свое текущее состояние безопасности и установить достижимые цели на основе долгосрочных стратегических планов обеспечения безопасности.

Основы программы безопасности:

  • Управление рисками
  • Политики, процедуры и стандарты
  • Классификация информации
  • Обучение сотрудников и общение

Разработка стратегии

Шаг первый: Позиция и установление стоимости активов

Первый шаг включает в себя процесс понимания и определения текущего и желаемого будущего состояния безопасности организации. Подход должен начинаться с актива (активом могут быть данные, системы и среды) + (время, усилия и ресурсы, необходимые для доведения актива до нужного состояния) и понимания того, что вы пытаетесь защитить, и его ценности.

Установить стоимость актива всегда непросто, но с практикой вы научитесь делать это эффективно. Например, стоимость активов данных определяется стоимостью данных и их важностью для бизнеса, затратами на поддержание данных и своевременную доставку их в этот рабочий момент.

Шаг второй: оценка ситуации с безопасностью (уязвимость)

Оценка людей, процессов и технологий в организации и определение того, где необходимо внести изменения, чтобы обеспечить работоспособную будущую стратегию безопасности. Это помогает определить экспозицию.

Важно определить текущее состояние безопасности организации. Это может быть сложным процессом, поскольку возможности обеспечения безопасности не имеют фиксированного местоположения в организации. Планирование стратегии безопасности должно начинаться со сбора как можно большего количества информации о безопасности внутри организации, чтобы не исключать внешних поставщиков. Ключевым моментом является определение областей воздействия или потенциального воздействия и понимание значения воздействия, которое часто путают с риском.

Получите полное представление о задачах и ролях сотрудников в существующей стратегии или методах обеспечения безопасности в организации. Чтобы разработать долгосрочную стратегию, важно знать, на каком уровне в настоящее время находится организация в отношении своих методов обеспечения безопасности и чего организация хочет достичь в отношении устойчивой стратегии обеспечения безопасности.

Ниже приведены способы получения информации о безопасности внутри организации для целей оценки:

  • Опросы являются полезным средством для более быстрого охвата более широкой аудитории, обеспечивая менее трудоемкую и дорогостоящую оценку. Это может помочь выявить воздействие.
  • Интервью с людьми внутри организации на разных уровнях для определения стратегических целей, опасений и идей относительно безопасности.
  • Документация, доступ к текущей документации, существующей в организации. Документация для рассмотрения может включать в себя ресурсы, текущие проекты и планы безопасности, операционную статистику, активы и т. д.

Одним из наиболее важных факторов стратегии безопасности являются цели организации. Чтобы помочь в достижении полного сотрудничества, включая поддержку руководства, важно сообщать о бизнес-целях. Согласование стратегии с бизнес-целями и определение преимуществ, достижимых благодаря успеху стратегии безопасности, значительно упрощает получение поддержки на высоком уровне, стоящей за стратегией, что необходимо для эффективной стратегии безопасности.

Определите необходимые и возможные будущие соответствия нормативным требованиям по всему спектру действий по обеспечению безопасности.

Иметь хорошее представление о существующих процедурах соответствия, используемых процедурах обеспечения безопасности документов, соответствия и управления рисками, а также тех, которые стали излишними или больше не применяются. Оцените существующие процедуры, чтобы убедиться, что они работают эффективно, или задокументируйте любые изменения, которые можно внести для их улучшения. Убедитесь, что возможности безопасности оцениваются или определяются во всей организации для обеспечения соответствия требованиям.

Хорошее понимание того, что уже эффективно функционирует и применяется на практике, а также какие процедуры требуются с немедленным эффектом или те, которые необходимы в долгосрочной перспективе, помогает в разработке стратегии безопасности.

Чтобы обеспечить функционирование безопасности в долгосрочной перспективе, организациям необходимо определить будущее видение безопасности в соответствии с бизнес-целями. Понимание определенных областей может определить, находится ли организация на правильном пути, и может определить любые дополнительные навыки, необходимые в долгосрочной перспективе.

Полезно оценить следующее:

  • Услуги и технологии, поддерживающие безопасность в вашей организации
  • Техническая архитектура, необходимая для обслуживания услуг в долгосрочной перспективе
  • Посмотрите на разработку правил и стандартов
  • Роли и обязанности в организации

Шаг третий: анализ собранной информации о безопасности

Проанализируйте собранную информацию о безопасности, чтобы выявить пробелы в существующей безопасности, области безопасности, требующие улучшения или корректировки, и определить ресурсы, необходимые для достижения конечной цели безопасности. Это поможет определить недостающие меры безопасности.

Чтобы инициировать процесс стратегии безопасности, важно установить структуру плана безопасности, которая определяет основные возможности безопасности. Фреймворк поможет:

  • Определение эффективности стратегии безопасности (структура позволяет сравнить ваше текущее состояние безопасности с другими объектами, включая состояние безопасности других организаций, нормативные требования и т. д.)
  • Простота понимания для менее технических специалистов (важно использовать деловой язык)
  • Определение того, является ли стратегия безопасности устойчивой в долгосрочной перспективе
  • Включение отчетов на нескольких уровнях

Фреймворк должен состоять из нескольких уровней безопасности.

Уровень 1: функции безопасности, которые оказываются полезными для организации, показывая ценность

Уровень 2: действия по обеспечению безопасности, необходимые для реализации каждой функции безопасности

Уровень 3: возможности безопасности, связанные с каждым действием безопасности

Целесообразно сравнить текущее состояние безопасности с отраслевыми стандартами и лучшими практиками, сделав это более точным анализом пробелов.

Из структуры вы можете определить цели безопасности.

Анализ расхождений

Проведите полный анализ пробелов, чтобы выявить недостатки и требования безопасности организации. Этого можно добиться с помощью аналитических процедур. Обязательно задокументируйте различия между текущими и будущими позициями безопасности. Рекомендуется анализировать информацию с разных точек зрения, поскольку пробелы могут оказаться критическими с одной точки зрения, а не с другой. Ограничив оценку брешей в безопасности одной точкой зрения, брешь можно недооценить или полностью проигнорировать.

Определение текущего состояния безопасности

Это лучше всего установить с помощью анализа пробелов и оценки рисков.

Анализ риска определит отсутствие или неполное выполнение процедур, которые могут представлять уязвимость в системе безопасности и, следовательно, риск. Объем оценки риска должен охватывать все процедуры, приложения и устройства, хранящие важную информацию.

После завершения анализа пробелов и оценки рисков организация должна быть осведомлена о существующей схеме угроз и любых идентифицируемых рисках.

Определить желаемый уровень безопасности

Чтобы реализовать желаемый уровень безопасности, важно помнить о целях организации. Цели всегда должны поддерживать бизнес-стратегию, чтобы желаемое состояние безопасности было достижимым. Также рекомендуется определить степень риска, на который организация готова пойти, поскольку это определит степень реализации средств контроля и, в конечном счете, повлияет на долгосрочную стратегию и положение в области безопасности.

Вывод

Чтобы стратегия безопасности работала в настоящем и в долгосрочной перспективе, важно смотреть вперед. Организации, как правило, сосредотачиваются на реагировании на угрозы безопасности, а не на превентивных действиях. Функционирование таким образом не дает возможности для будущего роста или адаптации системы безопасности. Очень важно, чтобы организации оставались гибкими и адаптируемыми в отношении своей безопасности для достижения долгосрочных преимуществ безопасности. Текущее состояние безопасности организаций по отношению к риску, на который они готовы пойти, и эффективное согласование безопасности будут определять достижимый желаемый уровень безопасности в будущем.

В следующей статье мы сосредоточимся на том, как планировать и разрабатывать стратегию безопасности, стратегическое согласование и как сообщать о стратегии безопасности.

Ознакомьтесь с разделом «Разработка стратегии информационной безопасности и управления рисками» (часть вторая).

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023