Geekly articles weekly

Informationssicherheitsstrategie: Haben Sie entschieden, wie Sie vorankommen möchten?

Hallo! Mein Name ist Anton Udovichenko, ich bin der Leiter der Infosecurity-Prüfungsabteilung. Aufgrund meiner Erfahrung habe ich Anweisungen zur Entwicklung einer Informationssicherheitsstrategie in einem Unternehmen erstellt.


Die Entwicklung einer Informationssicherheitsstrategie (IS) für viele Unternehmen scheint eine schwierige Aufgabe zu sein, sowohl im Hinblick auf die Organisation des Entwicklungsprozesses selbst als auch auf die anschließende praktische Umsetzung der Strategie. Einige Unternehmen sagen, dass sie auf formelle Planung verzichten können, ohne Zeit und Energie für die Erstellung von Plänen zu verschwenden. Dies wird durch schnelle Veränderungen auf dem Technologiemarkt gerechtfertigt, die alle ihre Bemühungen überkreuzen. Angesichts wirksamer Maßnahmen kann ein solcher Ansatz zu einigen Erfolgen führen, garantiert jedoch nicht nur den Erfolg in der Zukunft, sondern stellt ihn auch in ernsthafte Zweifel. Die formale Planung reduziert das Risiko von Fehlentscheidungen erheblich und dient als Grundlage für die spätere Kontrolle sowie zur Erhöhung der Bereitschaft für Marktveränderungen.

Die Notwendigkeit einer Informationssicherheitsstrategie ergibt sich in der Regel für Unternehmen, die sich bereits auf dem Markt sicher genug fühlen, um Pläne für die kommenden Jahre zu schmieden, sich jedoch den folgenden Herausforderungen gestellt haben:

  • mangelnde Korrelation zwischen den strategischen Zielen des Unternehmens und den Entwicklungsrichtungen der Informationssicherheit;
  • unzureichende Informationssicherheit der wichtigsten Geschäftsprozesse des Unternehmens;
  • niedrige Kapitalrendite bei der Entwicklung der Informationssicherheit.

Die IS-Entwicklungsstrategie sollte als eine Art Karte betrachtet werden, die Orientierungspunkte vor Ort definiert und zum Ziel führt. Sie können das Erreichen von Zielen überschaubar machen, indem Sie Grenzen und Prioritäten für taktische Entscheidungen für diejenigen festlegen, die für die Entwicklung des Unternehmens und / oder einzelner Bereiche verantwortlich sind. Es ist zu beachten, dass die IS-Strategie nicht statisch sein sollte. Da der Unsicherheitsfaktor mit der Zeit abnimmt, sollte die Strategie überprüft und gegebenenfalls angepasst werden, um neue Prioritäten für taktische Entscheidungen festzulegen.

Für wen ist eine Informationssicherheitsstrategie von Interesse?


Einige glauben fälschlicherweise, dass die IS-Strategie nur von den Verantwortlichen für die Gewährleistung des IS benötigt wird. Tatsächlich gibt es viel mehr Benutzer der IS-Strategie und jeder hat sein eigenes Interesse. Die wichtigsten sind:

Unternehmensleitung:

  • Verständnis der Rolle der Informationssicherheit bei der Umsetzung des allgemeinen Konzepts der Unternehmensentwicklung;
  • Gewährleistung der Kohärenz mit der Entwicklungsstrategie des gesamten Unternehmens;
  • Verständnis der Ziele und des Investitionsvolumens in die Informationssicherheit;
  • rationelle Verteilung der Investitionen;
  • Instrumente zur Überwachung der Zielerreichung.

Informationstechnologiedienst:

  • Verständnis der Rolle der Informationssicherheit bei der Entwicklung eines IT-Unternehmens;
  • Verständnis der Anforderungen von IS an die Ziel-IT-Architektur.

Informationssicherheitsdienst:

  • das Vorhandensein einheitlicher Grundsätze für die Entwicklung der Informationssicherheit;
  • Verständnis der Zielarchitektur des Informationssicherheitsunternehmens;
  • Verfügbarkeit eines detaillierten Aktionsplans (Projektportfolio);
  • ein klares Verständnis der erforderlichen Ressourcen;
  • Einhaltung von Gesetzen und Industriestandards in Bezug auf Informationssicherheit;
  • Tools zur Überwachung der Erreichung der IS-Ziele.

Das Verfahren zur Entwicklung einer Informationssicherheitsstrategie


Bevor Sie die Hauptschritte bei der Entwicklung einer Strategie betrachten, müssen Sie das Qualitätskriterium für die IS-Strategie festlegen und dementsprechend mit dem Ziel, sie zu entwickeln, vollständige Antworten auf drei Fragen erhalten:

  • Was sind die strategischen Ziele für die Entwicklung der Informationssicherheit, wie korrelieren diese Ziele mit den strategischen Zielen des Unternehmens?
  • Wie ist das zukünftige Profil (Status) des Informationssicherheitsunternehmens?
  • Welche Maßnahmen müssen ergriffen werden, um die strategischen Ziele der Entwicklung der Informationssicherheit zu erreichen?

Stufe 1. Vorbereitung. Zunächst legen wir die Parameter und die Reihenfolge des Projektmanagements fest.

Wichtige zu lösende Aufgaben:

  • Schaffung eines Projektteams und Festlegung von Zielen;
  • Koordination der Struktur der gesammelten Daten und Anpassung der Vorlagen;
  • Koordination der Projektgrenzen, Struktur und Inhalt der Berichtsdokumente;
  • Koordination des Projektmanagementprozesses
  • Festlegung des Verfahrens zur Lösung neu auftretender Probleme;
  • Erstellung und Genehmigung eines Arbeitsplans.

In dieser Phase müssen Sie tatsächlich die Schlüsselfaktoren für den Erfolg und das Erreichen der gewünschten Ergebnisse festlegen, nämlich:

  1. Einbeziehung des Managements in das Projekt: Die Entwicklung und Umsetzung der Informationssicherheitsstrategie sollte in erster Linie von der Unternehmensleitung unterstützt werden, die für die Überwachung des Arbeitsfortschritts, die Zuweisung der erforderlichen Ressourcen sowie für die anschließende Genehmigung der entwickelten Strategie verantwortlich sein sollte.
  2. Bildung des Projektteams: Die Zusammensetzung sollte die kompetentesten Mitarbeiter umfassen und während des gesamten Projekts unverändert bleiben. Folgende Organisationseinheiten werden im Projekt unterschieden:
    • Projektkurator des Auftragnehmers;
    • Projektkurator des Kunden;
    • Lenkungsausschuss;
    • Projektmanager seitens des Auftragnehmers;
    • der Leiter der Arbeitsgruppe seitens des Kunden;
    • Projektteam des Auftragnehmers;
    • Funktionsspezialisten von Seiten des Kunden.

  3. Klare Angabe von Zielen, Anforderungen, Einschränkungen sowie Kriterien für den Erfolg des Projekts, die sich strikt an die richtige Richtung halten und die Erwartungen des Kunden erfüllen.
  4. Entwicklung eines Projektmanagementverfahrens: Kommunikations- und Entscheidungsprozesse stellen die Verbindung und gegenseitige Abhängigkeit aller Managementfunktionen sicher und erreichen so die Integrität und Effektivität des Managementprozesses. Das Verfahren sollte die Verteilung von Befugnissen und Verantwortlichkeiten, das Verfahren für die Interaktion der Teilnehmer, das Verfahren zur Koordinierung der Zwischen- und Endergebnisse, das Verfahren zur Problembewältigung und zur Änderung des Projekts vorsehen.

Das Ergebnis dieser Phase sollte sein:

  • Projektcharta, Arbeitsplan, Zeitplan für notwendige Interviews;
  • Struktur von Berichtsdokumenten und Vorlagen für Datenerfassungs- / Berichtsdokumente.

Stufe 2. Analyse des aktuellen Standes der Informationssicherheit. Der Zweck der Phase besteht darin, die Reihenfolge und Methoden der Informationsverarbeitung unter dem Gesichtspunkt der Informationssicherheit, dem aktuellen Sicherheitszustand der Informationssicherheit, zu sammeln und zu analysieren.

Wichtige zu beantwortende Fragen:

  • Welche Rolle spielt Informationssicherheit in einem Unternehmen?
  • Welche Anforderungen sind die Grundlage für das Funktionieren des Informationssicherheitsunternehmens?
  • Wie ist der aktuelle Stand der IS-Sicherheitsprozesse?
  • Welche Informationsschutzinstrumente werden verwendet, ihre Vor- und Nachteile?
  • Was sind die Anforderungen eines Unternehmens an die Bereitstellung von Informationssicherheit?

Die Festlegung der Rolle der Informationssicherheit im Unternehmen bildet den allgemeinen Kontext für die Entwicklung einer Strategie und erfolgt auf allen Ebenen: Management, Abteilungsleiter und Mitarbeiter.

Informationen werden in folgenden Bereichen gesammelt:

  • das Niveau der Informationssicherheitskultur im Unternehmen;
  • IS Priorität in Bezug auf Geschäftsprozesse;
  • die Auswirkungen der Informationssicherheit auf die Geschäftsprozesse des Unternehmens;
  • das Bewusstsein des Managements für die Notwendigkeit der Informationssicherheit;
  • Grad der Einbeziehung und Sensibilisierung der Mitarbeiter für Fragen der Informationssicherheit.

Der nächste Schritt besteht darin, die Anforderungen zu ermitteln, denen das Unternehmen folgen muss oder auf die es sich freiwillig konzentriert hat. Die Anforderungen bilden im Wesentlichen die Grundlage für das Funktionieren der Informationssicherheit. Dazu gehören: Gesetzgebung, Industriestandards, nationale und internationale Standards für Informationssicherheit, Richtlinien einer Unternehmensgruppe usw.

Der Schritt der Untersuchung und Analyse von Informationssicherheitsprozessen ist ein Schlüsselschritt, der weitgehend das Ergebnis des gesamten Projekts bestimmt. Seine Komplexität liegt in der Notwendigkeit, verlässliche und objektive Informationen zu erhalten, die ausreichen, um das zukünftige Profil der Informationssicherheit in der Regel für eine sehr begrenzte Zeit zu bilden. Drei konzeptionelle Ansätze können unterschieden werden: grundlegend, detailliert und kombiniert (Experte).

Grundlegender Ansatz

Der Ansatz beinhaltet die Analyse des Zustands der Informationssicherheit auf Einhaltung einer grundlegenden Sicherheitsstufe. Die Grundstufe ist ein bestimmter Standardsatz von Schutzmaßnahmen, die in der Regel für Unternehmen charakteristisch sind, die auf demselben Gebiet tätig sind, um alle oder einzelne Informationssysteme zu schützen. Ein typischer Satz von Schutzmaßnahmen wird auf der Grundlage der Bedürfnisse von Unternehmen gebildet, einige Standardmaßnahmen anzuwenden, um beispielsweise gesetzliche Anforderungen zu erfüllen und sich vor den häufigsten Bedrohungen zu schützen.

Der grundlegende Ansatz ermöglicht es Ihnen, die minimale Menge an Ressourcen während der Analyse zu verwalten, und kann sogar in Form von Checklisten mit Fragen zur Verfügbarkeit bestimmter Maßnahmen und den Parametern für deren Implementierung implementiert werden. Ein wesentlicher Nachteil dieses Ansatzes ist die Ungenauigkeit und die Einschränkungen der gesammelten Informationen, da die Basisebene nicht immer der Kritikalität der verarbeiteten Informationen, der Spezifität ihrer Informationssysteme und Geschäftsprozesse entsprechen kann. Separate Systeme eines Unternehmens können durch unterschiedliche Sensitivitätsgrade, unterschiedliche Informationsmengen und -werte gekennzeichnet sein. In diesem Fall ist die Anwendung allgemeiner Schutzmaßnahmen logisch falsch.

Detaillierter Ansatz

Ein detaillierter Ansatz beinhaltet eine umfassende Übersicht über Informationsverarbeitungsprozesse und die Gewährleistung der Informationssicherheit des Unternehmens. Ein solcher Ansatz umfasst die Identifizierung und Bewertung von Informationsressourcen, die Bewertung der Risiken von IS-Verstößen, die Bewertung der Reife von IS-Prozessen, die Analyse von Ereignisstatistiken, die Analyse öffentlicher Überprüfungen und Berichte von Aufsichtsbehörden.

Die Ergebnisse einer detaillierten Analyse ermöglichen eine fundierte Auswahl von Schutzmaßnahmen bei der Erstellung des künftigen Profils der Informationssicherheit. Die Umsetzung dieses Ansatzes erfordert jedoch einen erheblichen Geld-, Zeit- und Fachaufwand. Darüber hinaus besteht eine gewisse Wahrscheinlichkeit, dass die Ergebnisse der Umfrage veraltet sind, da ein solcher Ansatz viel Zeit in Anspruch nehmen kann.

Kombinierter (Experten-) Ansatz

Die Anwendung jedes der oben beschriebenen Ansätze weist erhebliche Einschränkungen auf und ermöglicht nicht immer das Sammeln ausreichender Informationen für einen akzeptablen Zeitraum, um eine Strategie für die Informationssicherheit angemessen zu entwickeln und ein Portfolio von Projekten zu bilden. Daher werden in der Praxis verschiedene Kombinationen dieser Ansätze verwendet, einschließlich formaler Analysemethoden und praktischer Erfahrung von Spezialisten. In der Regel basiert dieser Ansatz auf einer vorläufigen Analyse für eine Risikobewertung von Verstößen gegen die Informationssicherheit auf hoher Ebene unter Berücksichtigung der Kritikalität (vertraulicher) Informationen, des Informationsflusses und der Bedeutung von Informationssystemen. In Zukunft wird eine detaillierte Analyse für Informationssysteme mit hohem Risiko durchgeführt, für andere kann sie durch den grundlegenden Ansatz eingeschränkt sein. Darüber hinaus werden eine detaillierte Analyse und Beschreibung der wichtigsten Informationssicherheitsprozesse sowie eine Bewertung der Tools und Methoden zum Schutz von Informationen sowie deren Vor- und Nachteile durchgeführt.

Dieser Ansatz ermöglicht es mit einem Minimum an Zeit und Aufwand, den aktuellen Status zu ermitteln, die erforderlichen Daten zu erhalten, um das zukünftige Profil der Informationssicherheit zu erstellen. Es ist nur zu beachten, dass die Objektivität und Qualität der Umfrageergebnisse in diesem Ansatz von der Qualität der Umfragemethodik und der Erfahrung ihrer Verwendung durch Spezialisten bestimmt wird.

Darüber hinaus ist anzumerken, dass die Wahl der Umfragemethoden und der Grad der Mitarbeiterbeteiligung durch den Ansatz und die Umfragemethode bestimmt werden. Beispielsweise kann der grundlegende Ansatz auf die Analyse interner Dokumente und Fragebögen mit einer Reihe von Interviews mit Schlüsselmitarbeitern beschränkt sein, während die beiden anderen Ansätze eine größere Anzahl von Mitarbeitern und eine größere Auswahl an Instrumenten umfassen:

  • Analyse interner Dokumente;
  • Fragen;
  • Befragung;
  • Sichtprüfung;
  • Prüfung mit speziellen technischen Mitteln.

Am Ende dieser Phase sollten Sie unabhängig vom gewählten Ansatz Folgendes erwarten:

  • Gutachten zum Entwicklungsstand des Informationssicherheitsunternehmens;
  • integrale Bewertung des aktuellen Standes der Informationssicherheit;
  • Beschreibung der Geschäftsanforderungen für die Informationssicherheit;
  • Bericht und Präsentation über die Ergebnisse der Etappe.

Stufe 3. Entwicklung des Zielprofils der Informationssicherheit. In dieser Phase sind die folgenden Schlüsselaufgaben gelöst:

  • Sicherstellung der Beziehung zwischen den strategischen Zielen des Unternehmens und den Entwicklungsrichtungen für die Informationssicherheit;
  • Formulierung von Grundprinzipien der Informationssicherheitsstrategie;
  • Bestimmung des zukünftigen Profils des Informationssicherheitsunternehmens.

Eines der Haupthindernisse bei der Entwicklung einer Informationssicherheitsstrategie im Hinblick auf das Management der Erwartungen der Geschäftsleitung ist das Fehlen klarer Ausgangsbedingungen, nämlich der Entwicklungsstrategie des Unternehmens mit einer klaren Beschreibung aller Aspekte in verständlicher Form. In der Praxis fehlt in der Regel entweder eine Entwicklungsstrategie für das Unternehmen als solches oder sie ist nicht formalisiert und kann bestenfalls in Worten formuliert werden.

Das Problem des Fehlens einer Entwicklungsstrategie für das Unternehmen wird durch die gemeinsamen Anstrengungen von Vertretern aus Wirtschaft, IT und IS bei der Entwicklung einer gemeinsamen Vision von IS-Aufgaben unter Berücksichtigung der folgenden Faktoren gelöst:

  • Welche Initiativen sind im gesamten Unternehmen geplant, einschließlich organisatorischer Änderungen, Markt- und Technologieentwicklung?
  • Welche Änderungen sind in Geschäfts- und IT-Prozessen geplant?
  • Welche wichtigen Entscheidungen hängen von der Zuverlässigkeit, Integrität oder Verfügbarkeit von Informationen oder von deren rechtzeitigem Empfang ab?
  • Welche Arten von vertraulichen Informationen müssen geschützt werden?
  • Welche Konsequenzen können für das Unternehmen nach dem Auftreten eines Informationssicherheitsvorfalls auftreten?
  • Welche Änderungen im externen Umfeld sind zu erwarten, einschließlich der Maßnahmen der Wettbewerber, Änderungen der Gesetzgebung usw.

Antworten auf diese Fragen können dazu beitragen, die Ziele der Bereitstellung von Informationssicherheit im Unternehmen zu formulieren. Im Gegenzug sollte berücksichtigt werden, dass für jede Initiative oder vorgeschlagene Maßnahme die möglichen oder gewünschten Ergebnisse, die Risiken ihrer Umsetzung sowie die Risiken im Falle einer Verweigerung der Umsetzung bewertet werden sollten.

Die Grundprinzipien der IS-Strategie bestimmen in der Tat die globalen Regeln, die beim Erstellen sowie bei der Auswahl und Implementierung von Lösungen befolgt werden sollten. Die Grundsätze werden in Abhängigkeit von den strategischen Zielen, Prozessen des Unternehmens, Investitionsmöglichkeiten usw. formuliert und sind daher in der Regel individuell für das Unternehmen. Wir heben einige universelle Prinzipien hervor:

  • IS-Integrität: Anwendbare Software- und Hardwarelösungen sowie organisatorische Maßnahmen müssen einvernehmlich vereinbart werden und ein bestimmtes Sicherheitsniveau bieten.
  • Standardisierung und Vereinheitlichung: Die Vielfalt der verwendeten Technologien sollte minimiert werden, um die Kosten für die Aufrechterhaltung von Fachwissen und Entscheidungen, deren Koordinierung und Integration, Lizenzierung und Wartung zu senken.
  • Benutzerfreundlichkeit: Die verwendeten Methoden und Mittel zur Bereitstellung von Informationssicherheit sollten nicht zu einer Erhöhung der Anzahl fehlerhafter Handlungen des Personals führen, während dieses Prinzip keine Einfachheit der Architektur oder eingeschränkte Funktionalität bedeutet.
  • Mindestprivilegien: Das Wesentliche des Prinzips ist die Zuweisung der geringsten Rechte, die nicht zu einer Verletzung der Arbeit des Benutzers führen dürfen.
  • Wirtschaftlichkeit: Angewandte Lösungen sollten darauf abzielen, die Gesamtbetriebskosten zu senken, die Kapitalrendite zu erhöhen und andere Indikatoren zur Bewertung der Wirtschaftlichkeit von Investitionen zu optimieren.

Die Bildung des zukünftigen Profils der Informationssicherheit ist die Lösung für mehrere teilweise widersprüchliche Aufgaben:

  • Einhaltung der Anforderungen an die Informationssicherheit (Gesetze, Aufsichtsbehörden, Hersteller, Partner usw.);
  • Minimieren Sie das Risiko eines IS-Verstoßes.
  • Gewährleistung der Einhaltung der Geschäftsziele unter Berücksichtigung der erwarteten Änderungen der Geschäfts- und IT-Prozesse;
  • bieten Investitionsattraktivität der Informationssicherheit.

Es gibt viele internationale (ISO, COBIT, NIST usw.) und russische (STO BR, GOST usw.) Standards, die bei der Erstellung des zukünftigen Profils der Informationssicherheit übernommen werden können. Hierbei ist jedoch zu beachten, dass kein Standard vollständig auf alle Unternehmen angewendet werden kann. Daher sollten Sie keine Strategie entwickeln, die nur auf einem Standard basiert, oder alles unter dem Durchschlag tun. Letztendlich müssen alle Komponenten des Informationssicherheitsprozesses organisch in die Logik der Geschäftsentwicklung passen: Einerseits die Entwicklung nicht zu stark einschränken und andererseits die Risiken innerhalb festgelegter Grenzen halten.

Ein wichtiges Thema, das im Rahmen der IS-Strategie ebenfalls berücksichtigt werden muss, ist die Anzahl und Qualifikation des Personals, die zur Erfüllung der Grundfunktionen erforderlich ist. Es sollte zumindest das einfachste Kompetenzmodell entwickelt werden, das neben der beruflichen Verantwortung auch die organisatorischen und branchenbezogenen Kenntnisse und Fähigkeiten der Mitarbeiter bestimmt. , , , , .

, , — . , , . , , , , , . .

:

  • , ;
  • ;
  • ;
  • .

4. . . , , .

: -, -, . IT/ - , , , , , . , . . : , -, . :

  • ;
  • ;
  • ;
  • .

, . . , , :

  • ;
  • .

, — , ? . , , , . , -. , .

:

  • ;
  • « » ;
  • ;
  • ;
  • .




, , .

.

« », , . , , — , «». , , .

.

- — , , () . , . , , .

.

, , , . , , .

.

, . , , .

, , . , .

Fazit


, , . , , . , , — .

Source: https://habr.com/ru/post/de441920/

More articles:


All Articles