В. Андрианов - Обеспечение информационной безопасности бизнеса

— контроль процесса — процесс контролируется во всех составляющих его работах и операциях;

— инновация процесса — разрабатываются и внедряются передовые технологии для работ и операций процесса;

— оптимизация процесса — осуществляются меры по улучшению процесса, результаты которых оцениваемы в количественном или качественном выражении.

Для оценки ИБ на основе модели зрелости необходимы два основных источника:

— требования к составу процессов менеджмента ИБ организации — требования ГОСТ Р ИСО / МЭК 27001;

— эталонная модель зрелости процессов ИБ.

Для идентифицированных процессов обеспечения ИБ должны быть разработаны:

— описание каждого из процессов в терминах уровней зрелости эталонной модели;

— методика оценки зрелости процессов, включающая анкеты для оценки возможностей процессов, в соответствии с заявленным уровнем зрелости.

С учетом анализа содержания и семантики требований ГОСТ Р ИСО/МЭК 27001 можно выделить следующие 17 процессов СМИБ организации:

— определение/уточнение области действия СМИБ и выбор подхода к оценке рисков ИБ;

— анализ и оценка рисков ИБ, варианты обработки рисков ИБ;

— определение/уточнение политики для СМИБ организации;

— выбор/уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ;

— принятие руководством организации остаточных рисков и решения о реализации и эксплуатации/совершенствовании СМИБ;

— разработка плана обработки рисков ИБ;

— реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СМИБ;

— реализация программ по обучению и осведомленности ИБ;

— обнаружение и реагирование на инциденты безопасности ИБ;

— мониторинг и контроль защитных мер, включая регистрацию действий и событий, связанных со СМИБ;

— анализ эффективности СМИБ, включая анализ уровней остаточного и приемлемого рисков ИБ;

— внутренний аудит СМИБ;

— анализ СМИБ со стороны высшего руководства;

— реализация тактических улучшений в СМИБ, осуществляемых в рамках полномочий служб (ответственных) ИБ организации;

— реализация стратегических улучшений СМИБ, требующих принятия решений на уровне руководства организации и инициирования процессов планирования СМИБ; использование опыта;

— информирование об изменениях и их согласование с заинтересованными сторонами;

— оценка достижения поставленных целей и потребностей в развитии СМИБ.

В [31] рассмотрен пример описания модели зрелости процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ», который приведен ниже.

Для процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» 4.2.1 c)÷f) СМИБ организации, определенной требованиями пунктами ГОСТ Р ИСО/МЭК 27001, описание модели его зрелости может быть определено следующим образом (приведем в качестве примера фрагменты описания нулевого, первого, третьего и пятого уровней зрелости процесса).

Модель зрелости

0-й уровень

На данном уровне наблюдается полное отсутствие определенного процессапо анализу и оценке рисков ИБ.

Не проводится оценка рисков ИБ для проектов, разрабатываемых стратегий и решений. Руководство организации не осознает возможных последствий для бизнеса организации, связанные с реализациями угроз ИБ, в спектре рисков организации не рассматриваются риски ИБ…

1-й уровень

В организации существуют документально зафиксированныесвидетельства осознания руководством существования проблем обеспечения ИБ. В частности, определена и документально зафиксирована область действия СМИБ.

Информационные активы определены, составлен перечень их уязвимостей и вероятности использования уязвимостей угрозами. Просчитан ущерб от возможной реализации угроз, а также определены оценки актуальности угроз.

Процессанализа и оценки рисков как таковой нестандартизирован.Деятельности в рамках процесса оценки и анализа рисков применяются эпизодически и бессистемно. Создана, но не обновляется база инцидентов ИБ. Определены приоритеты рисков, но данные приоритеты учитывают не все инциденты ИБ…

3-й уровень

Существует политика организации, в которой определяется периодичность и область оценки рисков ИБ. Процесс оценки рисков документирован и стандартизирован,суть процесса доводится до заинтересованного персонала посредством обучения базовым принципам безопасности, оценки и анализа рисков ИБ. Разработан план работ по оценке рисков. Методология оценки рисков с большой степенью вероятности гарантирует, что основные риски ИБ будут выявлены, поскольку результаты деятельности в рамках процесса по оценке и анализу рисков согласованы с соответствующими политиками, стандартами и /или процедурами…

5-й уровень

Оценка рисков в организации доведена до уровня лучших практик по оценке и анализу риска. Выбранная стратегия оценки рисков непрерывно совершенствуется,ориентируясь на последние достижения в области ИБ, действующие международные стандарты и результаты сравнения с уровнем других организаций. Привлекаются сторонние сертифицированные эксперты для консультаций по вопросам рисков, оптимизации существующей системы сбора и анализа первичной информации для анализа рисков. Проводятся совещания по принципу «мозгового штурма» с целью выявить и проанализировать причины идентифицированных рисков. Система защитных мер строго скоординирована с приоритетами рисков и зависимостью «эффективность защитных мер — стоимость», комплексно используется установленная форма отчетности об эффективности защитных мер…

По образу и подобию модель зрелости представляется для всех других процессов СМИБ организации.

Оценка уровня зрелости рассмотренного процесса «Анализ и оценка рисков ИБ, варианты минимизации рисков ИБ» СМИБ организации должна осуществлять на основе свидетельств выполненной деятельности по направлениям, соответствующим заявляемому или ожидаемому уровню зрелости. Например, для оценок на первый или третий уровень зрелости должны быть представлены свидетельства по следующим направлениям.

1-й уровень зрелости (начальный)

3-й уровень зрелости

1) Процесс аттестован на соответствие 2-му уровню зрелости.

2) Получены свидетельства следующих действий.