SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Политика информационной безопасности предприятия – пример и советы по разработке

Политика информационной безопасности предприятия – пример и советы по разработке
19.08.2024

Руслан Рахметов, Security Vision

 

При работе в современных компаниях работники часто слышат словосочетание «политика информационной безопасности», но зачастую даже ИТ-специалисты не всегда понимают, что это означает. Кто-то понимает под политиками ИБ набор внутренних правил и требований, кто-то - настройки устройств и серверов в домене, а кто-то - всего лишь непонятный документ с обилием технических терминов, с которым нужно было ознакомиться под роспись в первый рабочий день. В данной статье мы расскажем о том, что же такое политика информационной безопасности предприятия, приведем практические примеры и советы по разработке данного документа.

 

Итак, как мы уже писали ранее, политика информационной безопасности компании - это задокументированный, согласованный и утвержденный набор взаимосвязанных высокоуровневых принципов обеспечения защиты информации, в соответствии с которыми выстраиваются процессы ИБ в компании. Таким образом, именно корпоративной политикой ИБ определяются все применяемые в компании технические, организационные, физические меры обеспечения кибербезопасности, а все иные внутренние нормативные документы (далее - ВНД) - стандарты, регламенты, процедуры, инструкции - не могут противоречить положениям политики ИБ и используются для детализации изложенных в ней требований.

 

Процессы обеспечения кибербезопасности, которые выстраиваются в соответствии с требованиями политики ИБ, составляют связанную и гармоничную структуру, которая называется системой управления (или менеджмента / обеспечения) информационной безопасностью, сокращенно СУИБ (или СМИБ / СОИБ). Данная система состоит из ВНД по ИБ и соответствующих им выделенных ресурсов, направлений деятельности и реализуемых контрмер, которые управляются компанией в целях защиты информационных активов. Для внедрения СУИБ можно использовать различные фреймворки и стандарты, но общепризнанной лучшей мировой практикой является следование положениям стандарта ISO/IEC 27001:2022 "Information Security Management Systems - Requirements" ("Системы менеджмента информационной безопасности - Требования"), входящего в серию стандартов ISO/IEC 27000. Выстраивание СУИБ в соответствии с данным стандартом подразумевает систематический подход по разработке, внедрению, контролю, поддержанию и улучшению состояния киберзащищенности компании для достижения её бизнес-целей на основе корпоративной системы управления киберрисками. Ключевыми компонентами СУИБ являются процессы управления внедрением ВНД, повышением квалификации ИТ/ИБ-специалистов, повышением ИБ-осведомленности работников и руководителей, планированием работ по ИБ, внедрением защитных мер, текущей деятельностью ИБ-подразделения, оценкой эффективности СУИБ и ИБ-подразделения, оценкой результатов со стороны руководства, совершенствованием СУИБ.

 

Успешное внедрение СУИБ основывается на ряде ключевых положений, которые можно прописать в политике ИБ:


·   Анализ требований по кибербезопасности для информационных активов и применение соответствующих адекватных мер защиты;

·   Понимание необходимости и важности ИБ среди руководителей и сотрудников компании;

·   Назначение ответственных за обеспечение ИБ;

·   Проведение оценки киберрисков для выбора необходимых мер по снижению рисков до приемлемых уровней;

·   Интеграция защитных мер как неотъемлемых элементов в информационные системы и сети;

·   Активное предотвращение и выявление инцидентов ИБ;

·   Обеспечение всеобъемлющего подхода к управлению ИБ;

·   Непрерывный контроль и оценка состояния ИБ, внесение изменений в СУИБ при необходимости.

 

В стандарте ISO/IEC 27001:2022 указано, что политика ИБ должна быть задокументирована и утверждена руководителем компании, опубликована и доведена до работников компании, должна соответствовать бизнес-целям компании, определять цели процессов ИБ в компании, содержать обязательства по выполнению требований ИБ и непрерывному улучшению СУИБ в компании, а также должна пересматриваться и актуализироваться с определенной периодичностью или в случае существенных изменений бизнеса, корпоративной инфраструктуры, ландшафта угроз. Цели процессов ИБ, в свою очередь, должны соответствовать политике ИБ, быть контролируемыми и по возможности измеримыми, учитывать применимые требования ИБ и результаты процессов риск-менеджмента, а также обновляться при необходимости. При планировании процессов ИБ важно заранее определить, что именно должно быть сделано для достижения целей, какие ресурсы для этого необходимы, установить сроки достижения целей и выбрать методы оценки результатов, а также назначить ответственных.

 

В приложении "A" к стандарту ISO/IEC 27001:2022 приводится справочный неисчерпывающий набор различных мер защиты и средств управления, которые можно применять для минимизации выявленных в компании киберрисков - их также можно кратко описать в политике ИБ, перечислив основные организационные, физические, технические средства управления и средства управления персоналом. В целом, в политике ИБ должны быть прописаны высокоуровневые положения, принципы и концепции, которыми руководствуется компания для обеспечения своей кибербезопасности. 


Например, в политике по ИБ можно перечислить следующие принципы и концепции:


·   Соответствие СУИБ нормам текущего законодательства;

·   Ориентированность СУИБ на бизнес;

·   Обеспечение ИБ без нарушения бизнес-процессов компании;

·   Обеспечение ИБ для всех объектов защиты на всех этапах их жизненного цикла;

·   Классификация объектов защиты и приоритизация защитных мер;

·   Экономическая целесообразность применяемых мер защиты;

·   Ответственность и понимание работниками и руководителями компании требований ИБ;

·   Взаимодействие и координация усилий между работниками и руководителями структурных подразделений компании, а также с внешними лицами (регуляторы, контрагенты, сообщества, отраслевые ассоциации и т.д.);

·   Предоставление наименьших полномочий пользователям информационных систем;

·   Предоставление привилегированных (административных) полномочий только для выполнения конкретных служебных действий и только на определенный временной промежуток;

·   Предоставление доступа к информации только при наличии обоснования на использование данных, ознакомление с информацией, подключение к информационной системе, при наличии согласования на доступ и выполнение действий от непосредственного руководителя;

·   Разделение полномочий в виде невозможности выполнения критичных действий одним лицом;

·   Своевременная актуализация и отзыв полномочий;

·   Сегментирование и контроль доступа к данным с использованием подхода "Zero Trust";

·   Шифрование информации при хранении и передаче;

·   Применение подхода "Assumed Breach";

·   Выстраивание СУИБ в соответствии со стратегией эшелонированной обороны;

·   Непрерывное улучшение и процессный PDCA-подход к обеспечению ИБ и функционированию СУИБ.

 

В политику ИБ также можно включить следующие сведения:


·   Применимые нормы законодательства - например, требования 149-ФЗ, 152-ФЗ, 187-ФЗ, 98-ФЗ и т.д.;

·   Перечень объектов защиты - например, информационные ресурсы, элементы информационной инфраструктуры, программные и аппаратные средства, бизнес-процессы, помещения, работники и руководители компании;

·   Актуальные для компании угрозы ИБ - случайные и преднамеренные угрозы, например, несанкционированный доступ к информации, утечка данных, вывод из строя инфраструктуры, недоступность информации и т.д.;

·   Категории актуальных нарушителей с уровнями их возможностей - например, инсайдер, хактивист, конкурент, APT-группа, хакер-одиночка и т.д.;

·   Возможные негативные последствия от реализации киберугроз - прямой и непрямой ущерб, качественные и косвенные потери, например, недополученная прибыль, отток клиентов, хищение денег, потеря репутации и т.д.

 

Отметим, что работа нового руководителя по кибербезопасности в компании начинается, как правило, именно с разработки политики ИБ. Поэтому важно, чтобы этот документ не только был написан понятным языком и согласован руководством компании, но и стал бы высокоуровневым руководством для реализации результативной ИБ в компании. Важно, чтобы вслед за разработкой и утверждением политики ИБ новый руководитель по кибербезопасности предпринял ряд шагов по повышению уровня реальной киберзащищенности компании, продемонстрировал ощутимые результаты, выстроил диалог с бизнес-подразделениями и ключевыми сотрудниками. В каждом конкретном случае содержание политики ИБ и перечень первоочередных шагов по повышению уровня защищенности будут отличаться, поскольку компании характеризуются не только размерами и направлениями деятельности, но и риск-профилями, а также отношением руководителей и собственников к вопросам управления киберрисками. 


Однако можно предложить некий условный перечень шагов, который подойдет новому руководителю по ИБ в типовой частной компании средних размеров:


·   Изучение структуры бизнеса компании, включая основные активы и бизнес-процессы, выстраивание взаимодействия с бизнес-подразделениями, их руководителями и ключевыми сотрудниками;

·   Изучение информационной и сетевой инфраструктуры компании, используемых технологий, имеющихся средств защиты, выстраивание взаимодействия с ИТ-подразделением и специалистами (администраторами, сетевыми инженерами, разработчиками, техподдержкой);

·   Анализ применимых к компании законодательных норм в части защиты информации, выстраивание взаимодействия с юридическим блоком по вопросам соответствия законодательству;

·   Выявление актуальных угроз ИБ и киберрисков, которые в соответствии с решением комитета по рискам (или аналогичной корпоративной структуры) необходимо минимизировать;

·   Составление перечня требований по ИБ, продиктованных минимизируемыми киберрисками, актуальными угрозами ИБ, требованиями законодательства;

·   Выбор подходящих отраслевых и международных фреймворков, стандартов, рекомендаций и лучших практик для выстраивания процессов ИБ в компании;

·   Разработка и утверждение политики ИБ, в дальнейшем - постепенная разработка других ВНД, включая корпоративные стандарты по ИБ, детализированные регламенты, процедуры, инструкции по ИБ;

·   Составление списка необходимых мер защиты (организационные, технические, физические), которые закрывают выявленные требования по ИБ;

·   Анализ уже имеющихся мер защиты (включая СЗИ) на предмет реализации ими сформированных требований по ИБ;

·   Выбор новых мер защиты (включая СЗИ) и/или модернизация старых, оценка и экономическое обоснование соответствующих затрат, согласование бюджета;

·   Набор сотрудников в ИБ-подразделение для работы с конкретными технологиями и СЗИ;

·   Реализация мер защиты, включая приобретение (разработку), внедрение, первичную настройку СЗИ силами подрядчиков или самостоятельно;

·   Проведение ИБ-обучения для работников и руководителей компании на регулярной основе и при приеме на работу новых сотрудников, повышение квалификации ИТ/ИБ-специалистов в рамках корпоративной программы управления компетенциями;

·   Контроль выполнения ВНД с помощью СЗИ, контроль минимизации киберрисков до заданного уровня;

·   Непрерывное улучшение СУИБ, адаптация мер защиты к изменяющемуся ландшафту угроз ИБ и новым выявленным киберрискам, донастройка и актуализация СЗИ, охват мерами защиты всё более широкого круга бизнес-процессов.

Партнеры ИБ Угрозы ИБ Практика ИБ СЗИ Оргмеры ИБ

Рекомендуем

Управление мобильными устройствами
Управление мобильными устройствами
Геймификация и управление персоналом
Геймификация и управление персоналом
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Модель зрелости SOAR
Модель зрелости SOAR
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Рекомендуем

Управление мобильными устройствами
Управление мобильными устройствами
Геймификация и управление персоналом
Геймификация и управление персоналом
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
Сотрудники-инсайдеры в компании и какие угрозы для безопасности данных компании они несут
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Анатомия визуализации. Часть первая: от задачи к исполнению
Анатомия визуализации. Часть первая: от задачи к исполнению
Каналы утечки информации. Часть 1
Каналы утечки информации. Часть 1
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Модель зрелости SOAR
Модель зрелости SOAR
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
Продукт обеспечения непрерывности бизнеса (Security Vision BCP) как связующее звено между процессами ИТ и ИБ
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Похожие статьи

Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Интернет вещей и безопасность
Интернет вещей и безопасность
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Обзор Баз данных угроз
Обзор Баз данных угроз
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты

Похожие статьи

Безопасность контейнеров на новом уровне: погружение в Trivy
Безопасность контейнеров на новом уровне: погружение в Trivy
Интернет вещей и безопасность
Интернет вещей и безопасность
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
Технология SOAR и ее место в SOC
Технология SOAR и ее место в SOC
Обзор Баз данных угроз
Обзор Баз данных угроз
Пентесты
Пентесты
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение
Термины и определения в области информационной безопасности
Термины и определения в области информационной безопасности
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты