[[slotProps.postItem.title]]
Средства контроля являются важной составляющей системы внутреннего контроля и управления рисками в компании. Средства контроля информационной безопасности – это политики и контрольные процедуры, представляющие собой действия, осуществляемые с использованием технологических средств, обеспечивающие реагирование на недостатки системы информационной безопасности и киберриски со стороны руководства.
В июле 2021 года компания IBM Security опубликовала результаты глобального исследования материальной оценки ущерба от утечек данных. Каждый случай в среднем обходится компании в 4,24 млн долларов (выборка для анализа составила более чем 500 организаций) — это самое высокое значение за 17 лет ведения исследований IBM. Эти данные заставляют руководство организаций задаваться вопросами: какие средства контроля используются для защиты данных, устройств и сетей, достаточно ли защищена ИТ-инфраструктура компании?
Средства контроля применяются ко всем устройствам и в отношении всех систем – от центрального сервера до персональных компьютеров сотрудников. Средства контроля информационной безопасности можно разделить на следующие подгруппы.
- Информационно-технологическая инфраструктура: обеспечение соответствия законодательству о конфиденциальности (комплаенс-контроль), разработка локальных нормативных актов (политики, регламенты, инструкции), соглашения об обслуживании, обеспечивающие надлежащее функционирование систем, а также планирование непрерывности бизнеса, которое обеспечивает бесперебойное функционирование ИТ-систем.
- Физические элементы управления: оборудованные серверные помещения, замки, видеонаблюдение, контроль доступа к физическому оборудованию.
- Администрирование: утверждение приобретения новых систем и вывод из эксплуатации, проверка учетных записей, выдача и ограничение доступа к конфигурации систем и программному обеспечению.
- Мониторинг: регулярная проверка актуальности и работоспособности сетей, автоматические межплатформенные сверки данных, отслеживание зафиксированных инцидентов, обновление антивирусного программного обеспечения и брандмаэуров (системных утилит (сетевых экранов) для контроля и фильтрации входящего/исходящего трафика).
- Планирование: формирование инвестиционной программы информатизации, составление графика обследования систем.
Элементы управления информационной безопасностью также можно классифицировать по целям.
- Превентивные средства контроля: предназначены для предотвращения инцидентов, кибергигиена, сегментация сети и аутентификация пользователей.
- Детективные средства контроля: инструменты, используемые во время инцидента для реагирования на нарушение, отслеживание подозрительного трафика, неуспешных попыток авторизации и другое.
- Корректирующий контроль: контроль, позволяющий оценивать и управлять причиненным ущербом, нанесенным инцидентом, например, страхование кибербезопасности, разработка или актуализация существующих планов реагирования на инциденты.
Для того чтобы выстроить оптимальную эффективную систему контроля информационной безопасности, необходимо определить, какие средства контроля подходят для компании, а какие могут оказаться малоэффективными.
Существует несколько международных стандартов, которые служат ориентиром для организаций, когда речь идет о передовых методах и средствах управления безопасностью.
- NIST (Национальный институт стандартов и технологий США) предлагает структуру кибербезопасности, состоящую из стандартов, руководств и методов для обеспечения защиты критической инфраструктуры организации, что включает в себя более 100 отдельных средств контроля, которые компания может использовать для снижения киберрисков.
- ISO/IEC 27002 (Information technology. Security techniques. Code of practice for information security controls) – на базе данного стандарта в Российской Федерации действует ГОСТ Р ИСО/МЭК 27002-2021, содержащий свод норм и правил применения мер обеспечения информационной безопасности.
- COBIT 5 – это набор элементов управления, разработанный ISACA (международной ассоциацией, объединяющей профессионалов в области ИТ-аудита, ИТ-консалтинга, управления ИТ-рисками и информационной безопасности.) и основанный на пяти принципах безопасности:
· соответствие потребностям заинтересованных сторон;
· комплексный взгляд на предприятие;
· применение единой интегрированной методологии;
· пбеспечение целостности подхода;
· разделение руководства и управления.
COBIT 5 предлагает целостную методологию, которая призвана помочь в решении задачи руководства и управления ИТ в компании.
Оценка уровня зрелости контрольной среды в области информационной безопасности в компании может быть как внешней (со стороны привлеченных консультантов), так и внутренней (например, со стороны внутреннего аудита). В ходе оценки изучаются внутренние нормативные документы, регламентирующие процессы, связанные с обеспечением информационной безопасности, основные этапы процессов, проводятся интервью (опросы/анкетирование) основных участников процесса, осуществляется выборочное тестирование ИТ-систем.
Можно выделить следующие уровни зрелости процесса информационной безопасности в соответствии с COBIT.
- 5 Оптимизированный. Процесс соответствует лучшим практикам, постоянно совершенствуется. Разработаны и исполняются политики в области информационной безопасности, процедура реагирования на инциденты, план непрерывности бизнеса в части ИТ (Disaster Recovery Plan, DRP). Регулярно проводятся аудиты информационной безопасности. Разработана стратегия развития системы информационной безопасности. Оборудование и ПО используется эффективно, не имеет признаков физического и морального устаревания. Затраты на закупку оборудования и ПО обоснованны. Риски утраты информации и необнаружения инцидентов очень низкие (незначительные).
- 4 Управляемый и измеряемый. Руководство имеет возможность измерять, отслеживать соответствие процедурам и отклонения и принимать меры в случае неэффективности. Процесс регламентирован и постоянно совершенствуется (цели процесса определены, имеют количественные/качественные метрики, определены участники процесса и владельцы систем, принципы их взаимодействия и ответственность определены документально). Риски утраты информации и необнаружения инцидентов низкие.
- 3 Определенный. Стандарты, политики, процедуры, контрольные процедуры стандартизированы, задокументированы, отражают сложившуюся практику. Персонал осведомлен и обучен. Определен порядок действий сотрудников в случаях выявления инцидентов информационной безопасности (регистрация, расследование, формирование отчета об устранении инцидента и реализация мер, направленных снижение вероятности повторения инцидентов). Риски утраты информации и необнаружения инцидентов средние.
- 2 Повторяющийся. Процесс выполняется примерно по одинаковому сценарию. Основные стандарты, политики, процедуры, контрольные процедуры задокументированы, но информирование, инструктаж, обучение сотрудников на регулярной основе не проводится. Риски утраты информации и необнаружения инцидентов высокие.
- 1 Начальный. Существуют свидетельства того, что компания признала наличие трудностей, требующих решения. Стандартизованных процессов нет, вместо этого используется уникальный подход к решению инцидента. Общий подход к управлению информационной безопасностью не организован. Контрольные процедуры выполняются частично и/или не имеют подтверждения выполнения. Риски утраты информации и необнаружения инцидентов очень высокие.
- 0 Несуществующий. Полное отсутствие признаков процесса. Компания не управляет информационной безопасностью. Риски утраты информации и необнаружения инцидентов критично высокие.
Таким образом, для минимизации рисков информационной безопасности необходимо поддерживать эффективность контрольной среды на высоком уровне. Для этого важно проводить регулярную диагностику имеющихся средств контроля, а также внедрять новые контрольные процедуры и мероприятия, отвечающие требованиям международных стандартов в области информационной безопасности.
Автор: Дарья Бочарова
