Двенадцать заповедей специалиста по защите информации

Двенадцать заповедей специалиста по защите информации

Двенадцать заповедей специалиста по защите информации

Участники Форума по информационной безопасности (ISF), Международного консорциума по сертификации безопасности информационных систем ((ISC)^2) и Ассоциации аудита и контроля информационных систем (ISACA) совместно разработали документ, название которого можно вольно перевести как "Заповеди специалиста по защите информации". Он имеет вид памятки, так что желающие им воспользоваться располагают возможностью вывести документ на печать и расположить в удобном для себя месте.

Перечисленные в документе принципы, которыми должен руководствоваться всякий сотрудник, отвечающий за безопасность данных, сгруппированы в три тематических подраздела и представлены в виде таблицы. Для каждого принципа предложены краткая формулировка, обобщенная цель и детализированное описание.

Предлагаем вам ознакомиться с содержанием этого документа и взглянуть на работу защитника информации с точки зрения западных специалистов.

Часть А: Поддержка бизнеса

Принцип Цель Описание
A1 Бизнес - в фокусе внимания Убедиться, что при ведении бизнеса соблюдается информационная безопасность Специалисты по информационной безопасности должны поддерживать и укреплять отношения с руководителями и наглядно демонстрировать им, что защита информации может успешно дополнять ключевые бизнес-процессы и управление рисками. Необходимо придерживаться рекомендательного подхода, способствуя выполнению целей и задач бизнеса посредством формирования таких указаний и рекомендаций, которые позволят эффективно защищать данные и управлять рисками как в настоящее время, так и в будущем.  
A2 Обеспечение качества и полезности защиты Убедиться, что информационная безопасность соответствует требованиям бизнеса и эффективно работает Следует постоянно находиться в контакте со всеми потенциально заинтересованными лицами - как в пределах предприятия, так и вне его, - чтобы обеспечивать постоянное соответствие системы безопасности их требованиям и запросам в сфере защиты важных сведений. В конечном счете формирование представлений о ценности и полезности информационной безопасности (причем не только с точки зрения экономики и финансов) может способствовать принятию более корректных решений по поддержанию и усилению защиты информации. 
А3 Соответствие нормам и требованиям Убедиться, что система защиты информации отвечает требованиям законодательства, равно как и ожиданиям заинтересованных лиц, а риск их нарушения минимизирован Обязательства и нормы различного рода должны быть проанализированы в полном объеме, преобразованы в набор специфических требований по соблюдению безопасности информации и доведены до сведения всех сотрудников, работающих с конфиденциальными данными. Работники должны четко уяснить, какие санкции будут к ним применены в случае нарушения указанных требований. Также необходимо отслеживать любые изменения норм и правил, в том числе принятие новых либо обновление существующих профильных законов, и приводить систему защиты информации в соответствие новым реалиям.
А4 Точное и своевременное информирование Обеспечить соответствие требованиям бизнеса и надлежащее управление рисками Необходимо четко обозначить правила предоставления информации о функционировании системы защиты и обеспечить использование наиболее релевантных и точных методов измерения отдельных показателей, а также привести как правила, так и методы в соответствие целям и задачам бизнеса. Журналы и протоколы необходимо вести последовательно, строго и постоянно, без каких-либо пробелов и перерывов, дабы точная информация о состоянии системы могла в любой момент быть извлечена и представлена для ознакомления заинтересованным лицам.
А5 Оценка текущих и вероятных будущих угроз Проанализировать и оценить угрозы безопасности информации, дабы имелась возможность вовремя принять все необходимые меры по урегулированию рисков Наиболее крупные течения и тенденции, равно как и конкретные угрозы и риски, необходимо подвергнуть категоризации и представить в виде унифицированной структуры, которая охватывает широкий круг потенциальных проблем - политических, юридических, экономических, социокультурных, технических. Следует постоянно расширять имеющийся у специалиста объем знаний о возможных угрозах, чтобы иметь возможность проактивно воздействовать на их причины, а не реактивно - на следствия.
А6 Постоянное улучшение и обновление системы защиты Снизить затраты, повысить успешность и эффективность системы, пропагандировать культуру непрестанного повышения уровня информационной безопасности Бизнес-модели постоянно подвергаются разнообразным модификациям, что в сочетании с активным развитием и распространением угроз безопасности создает потребность в непрерывном приспособлении приемов и методов защиты информации к изменяющейся среде и в повышении их эффективности. Изучая инциденты и взаимодействуя с независимыми исследовательскими организациями, специалист должен поддерживать и обновлять свою базу знаний о последних достижениях в области обеспечения информационной безопасности.

Часть В. Защита бизнеса

Принцип Цель Описание
В1 Применение рискоцентрического подхода Убедиться, что управление рисками осуществляется последовательно и эффективно Работа с рисками для безопасности информации должна быть организована таким образом, чтобы имелась возможность принимать документированные решения на основании достаточного количества сведений. Для управления рисками специалист вправе задействовать один или несколько различных методов: принятие рисков (т.е., к примеру, кто-либо из менеджеров подписывает документ о согласии с потенциальными рисками и отсутствии потребности в каких-либо последующих действиях), избегание рисков (например, отказ от реализации какой-либо инициативы или потенциально опасного проекта), делегирование рисков (скажем, путем передачи проекта на внешнее исполнение или посредством страхования), и, наконец, урегулирование рисков, которое традиционно ассоциируется с принятием определенных мер безопасности - таких, как установка специализированного программного обеспечения для управления доступом, мониторинга сетевой активности и т.д.
В2 Защита классифицированной информации Предотвратить попадание конфиденциальной информации либо данных особой важности к неавторизованным лицам Информацию необходимо проанализировать и классифицировать в соответствии со степенью ее конфиденциальности (например, "секретно", "с ограниченным доступом", "для служебного пользования", "общедоступно"). Классифицированная информация должна надлежащим образом защищаться на всех этапах ее жизненного цикла, начиная от создания и заканчивая уничтожением; для этого следует применять соответствующие контрольные механизмы - например, мандатный контроль или шифрование.
B3 Концентрация на критических бизнес-приложениях Распределять дефицитные ресурсы безопасности на основе приоритетности, обеспечивая защитой в первую очередь те бизнес-приложения, успешная атака против которых нанесет наибольший ущерб Чтобы определить уровень критичности тех или иных бизнес-приложений, которые задействованы в процессе обработки, хранения и передачи важной информации, необходимо оценить потенциальный ущерб, который будет нанесен бизнесу в случае нарушения целостности и / или доступности этих данных. После этого можно определить требования к ресурсам, выделяемым на обеспечение безопасности, и приоритезировать процесс их распределения, защитив в первую очередь наиболее важные информационные активы.
В4 Разработка изначально защищенных систем Построить качественную, надежную и низкозатратную систему работы с данными При планировании, проектировании, построении и проверке (проще говоря, на всех стадиях жизненного цикла) информационной системы предприятия защита данных должна быть ее краеугольным камнем. Ключевую роль на любом этапе разработки системы должны играть тщательное тестирование на уязвимости, проверка на устойчивость к ошибкам, исключениям и чрезвычайным ситуациям.

Часть С. Ответственное поведение при обеспечении безопасности

Принцип Цель Описание
С1 Профессионализм и этика Убедиться, что любая деятельность, имеющая отношение к обеспечению информационной безопасности, осуществляется эффективно, надежно и со всей необходимой ответственностью Защита информации во многом зависит от способности специалистов и экспертов ответственно выполнять свою миссию и четко осознавать, что от них напрямую зависит безопасность тех данных, на стражу которых они поставлены. Профессионалу в этой области следует быть приверженным самым высоким стандартам качества своей работы, последовательно исполнять обязанности и помнить о морально-этических аспектах деятельности специалиста по защите информации, с уважением относиться к потребностям бизнеса, к сотрудникам предприятия, а также к конфиденциальности вверенных ему сведений.
С2 Формирование культуры "позитивной безопасности" Обеспечить положительное влияние норм безопасности на поведение пользователей, минимизировать риски нарушения политики безопасности, ограничить потенциальный ущерб от их реализации Защита информации должна быть обычной, повседневной и в то же время ключевой составной частью деятельности предприятия. Необходимо повышать осведомленность пользователей и в случае необходимости обучать их тем навыкам, которые требуются для защиты важной информации. Сотрудники должны знать, какие риски угрожают тем сведениям, с которыми они работают, и владеть необходимыми полномочиями для успешной защиты от этих угроз.

Оригинал документа доступен здесь.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru