07.06.2018

Управление корпоративной информационной безопасностью: современные подходы







С усложнением корпоративной ИКТ-инфраструктуры и ландшафта киберугроз строить систему информационной безопасности из отдельных устройств и решений стало неэффективно. И даже их интеграция в единую корпоративную ИБ-структуру отошла на второй план.
На передний же край обеспечения корпоративной ИБ сегодня выдвинулось грамотное управление ею.

Константин Зац, инженер отдела информационной безопасности ГК «Компьюлинк» рассказал изданию itWeek о целях управления корпоративной ИБ и о самых актуальных задачах данного направления.
 

 

Цель управления корпоративной ИБ — зарабатывать или обслуживать (сравним службу ИБ, например, с бухгалтерией)?

Управление информационной безопасностью в современной организации позволяет сокращать финансовые издержки существующих бизнес-процессов. В силу специфики управление информационной безопасностью требует внесения ограничений и требований в существующую деятельность компании. Однако грамотное управление рисками позволяет избегать финансовых потерь и, в конечном счете, приводит к ускорению роста бизнеса.


Какие метрики эффективности управления ИБ вы считаете реально применимыми на практике?

Необходимость применения тех или иных метрик управления ИБ зависит от цели их использования. Если для определения возможностей продукта ИБ и его сравнения с аналогами подойдут прикладные метрики: количество инцидентов, время реакции, то для метрик высокоуровневых процессов необходим другой набор – здесь все больше используются финансовые показатели эффективности, например, финансовые потери, связанные с инцидентами ИБ, включающие как прямые денежные потери, так и потерю лояльности заинтересованных лиц. Сюда же можно отнести показатели возврата инвестиций по внедряемым проектам. Качество использования метрик зависит, в том числе, от выстроенных связанных процессов: управления ИТ-службой, управления финансами и т.д.


Становятся ли сегодня задачи управления корпоративной ИБ более актуальными? Если да, то в чем причины?

Непрерывный рост информатизации и интеграции сервисов не может не сказаться на необходимости более пристально относиться к вопросам информационной безопасности. Организации, не уделяющие управлению информационной безопасности должного внимания, уже сейчас рискуют понести существенные финансовые убытки, либо потерять часть бизнеса.


Управление корпоративной ИБ — основные компоненты и инструменты. Нужно ли автоматизировать управления корпоративной ИБ? Какими средствами это делать?

Как и другие направления деятельности в современной организации, управление корпоративной ИБ требует регламентации и автоматизации деятельности. Для единой интеграции процессов управления ИБ используются системы класса GRC, объединяющие корпоративное управление (Governance), управление рисками (Risk), соблюдение требований (Compliance).
В зависимости от стоящих перед системой задач, она может включать в себя следующий функционал: управление аудитами, планирование непрерывности бизнеса, соответствие корпоративным требованиям и требованиям законодательства, управление операционными рисками, рисками, связанными с поставщиками ИТ-услуг.


Управление корпоративной ИБ при использовании услуг ИБ-провайдеров: с ними или без них? Если с ними, то какие новые задачи управления ИБ выходят на первый план, каких новых компетенций они требуют от ИБ-службы?

Возможности современных платформ предоставления аутсорсинга ИБ услуг все чаще приводят руководство организаций к мысли о передаче непрофильных процессов партнеру. Аутсорсинг ИБ позволяет сосредоточиться на основных аспектах бизнеса и сократить операционные издержки на высококвалифицированном персонале. Здесь на первый план выходят вопросы грамотного выбора партнеров. В первую очередь, провайдеры ИБ отличаются перечнем предоставляемых услуг. Также необходима проработка вопроса возможностей интеграции с используемой у провайдера архитектурой. Нужно обратить внимание на соответствие предоставляемой провайдером услуги требованиям регуляторов и внутренней политики безопасности компании и какие активы организации могут быть вынесены на аутсорсинг, а какие стоит оставить в рамках организации.

Текст обзора полностью.