你好 我叫Anton Udovichenko,我是Infosecurity审计部门的负责人。 根据我的经验,我准备了有关如何在公司中制定信息安全策略的说明。
从组织开发过程本身以及随后对该策略的实际实施的角度来看,对于许多公司而言,开发信息安全(IS)策略似乎都是一项艰巨的任务。 一些公司表示,他们可以不进行正式计划,而不必在制定计划上浪费时间和精力,而可以通过技术市场的迅速变化来证明这一点,而这是他们付出了所有努力的结果。 在采取有效措施的情况下,这种方法可以带来一定的成功,但是,它不仅不能保证将来的成功,而且会带来严重的疑问。 正式的计划可以大大降低做出错误决定的风险,并且可以作为后续控制的基础,还有助于提高市场变化的准备程度。
通常,对于已经对市场有足够信心来制定未来几年计划的公司来说,就需要信息安全策略,但它们面临以下挑战:
- 公司的战略目标与信息安全发展方向之间缺乏关联;
- 公司关键业务流程的信息安全水平不足;
- 开发信息安全的投资回报率低。
IS开发策略应被视为某种地图,用于定义地面上的地标并指向目标。 通过为负责公司和/或各个领域发展的人员设置战术决策的限制和优先级,它使您可以实现目标的管理。 应当指出,信息安全策略不应是静态的,并且随着不确定性因素随着时间的推移而减少,应对策略进行审查,并在必要时进行调整,从而为战术决策设定新的优先级。
对于谁感兴趣的信息安全策略?
有些人错误地认为,只有负责确保IS的人员才需要IS策略。 实际上,IS策略的用户更多,每个人都有自己的兴趣,主要的兴趣是:
公司管理:- 了解信息安全在实施公司发展的总体概念中的作用;
- 确保与整个公司的发展战略相一致;
- 了解信息安全投资的目标和数量;
- 合理分配投资;
- 监控目标实现的工具。
信息技术服务:- 了解信息安全在IT公司发展中的作用;
- 了解IS对目标IT体系结构的要求。
信息安全服务:- 发展信息安全的统一原则的存在;
- 了解信息安全公司的目标架构
- 提供详细的行动计划(项目组合);
- 清楚了解所需资源;
- 遵守有关信息安全的法规和行业标准;
- 监控信息系统目标实现情况的工具。
制定信息安全策略的过程
在考虑制定策略的主要步骤之前,您需要确定IS策略的质量标准,因此,为了制定策略,这是对以下三个问题的完整答案:
- 信息安全发展的战略目标是什么?这些目标与公司的战略目标有何关系?
- 信息安全公司的未来概况(状态)如何?
- 需要采取什么行动来实现信息安全发展的战略目标?
阶段1.准备。 首先,我们将确定项目管理的参数和顺序。
要解决的关键任务:
- 建立项目团队并设定目标;
- 协调收集到的数据的结构并修改模板;
- 协调项目范围,报告文件的结构和内容;
- 协调项目管理流程
- 确定解决新出现问题的程序;
- 准备和批准工作计划。
实际上,实际上,在此阶段,您需要确定成功并获得预期结果的关键因素,即:
- 管理层参与项目:信息安全战略的制定和实施首先应得到公司管理层的支持,该公司管理层应负责监视工作进度,分配必要的资源以及随后对已开发战略的批准。
- 组建项目团队:其组成应包括最能干的员工,并且在整个项目中保持不变。 项目中区分以下组织单位:
- 承包商的项目策展人;
- 客户的项目策划人;
- 指导委员会;
- 承包商方面的项目经理;
- 客户方面的工作组负责人;
- 承包商的项目团队;
- 客户方面的功能专家。
- 明确说明目标,要求,限制以及项目成功的标准,这将严格遵循正确的方向并满足客户的期望。
- 制定项目管理程序:沟通和决策过程可确保所有管理功能的相互联系和相互依存,从而实现管理过程的完整性和有效性。 该程序应规定权力和责任的分配,参与者互动的程序,协调中间和最终结果的程序,管理问题和对项目进行更改的程序。
此阶段的结果应为:
- 项目章程,工作时间表,必要的采访时间表;
- 报告文档的结构以及用于数据收集/报告文档的模板。
第二阶段。分析信息安全的现状。 该阶段的目的是从信息安全性,信息安全性的当前状态的角度收集和分析处理信息的顺序和方法。
要回答的关键问题:
- 信息安全在公司中扮演什么角色?
- 信息安全公司运作的基础是什么要求?
- IS安全流程的当前状态是什么?
- 使用了哪些信息保护工具,它们的优缺点?
- 企业提供信息安全的要求是什么?
在公司中,信息安全角色的确立为制定战略奠定了总体背景,并在各级进行:管理层,部门负责人和员工。
在以下区域收集信息:
- 公司的信息安全文化水平;
- 与业务流程相关的IS优先级;
- 信息安全对公司业务流程的影响;
- 管理层对信息安全需求的认识;
- 员工对信息安全问题的参与程度和意识。
下一步是确定公司必须遵循的要求或自愿决定关注的要求。 本质上,这些要求是信息安全功能的基础;这些要求包括:立法,行业标准,国家和国际信息安全标准,公司集团的政策等。
检查和分析信息安全过程的步骤是关键的一步,很大程度上决定了整个项目的结果。 其复杂性在于需要获得可靠且客观的信息,通常足以在非常有限的时间内形成信息安全的未来概况。 可以区分三种概念方法:基本,详细和组合(专家)。
基本方法该方法涉及对信息安全状态的分析,以符合某些基本安全级别。 基本级别是一组保护措施的标准规范,通常是同一领域内公司的特征,用于保护所有或单个信息系统。 根据公司使用某些标准措施(例如遵守法律要求以及防御最常见威胁)的需求,形成了一套典型的保护措施。
基本方法使您可以在分析期间管理最少的资源,甚至可以以清单的形式实施,并带有有关某些措施的可用性及其实施参数的问题。 这种方法的一个重大缺点是所收集信息的准确性和局限性,因为基本级别不能始终对应于已处理信息的关键性,其信息系统和业务流程的特殊性。 公司的单独系统可能具有不同程度的敏感性,不同的信息量和信息价值;在这种情况下,使用一般保护措施在逻辑上是不正确的。
详细方法详细的方法涉及对信息处理过程的全面调查,并确保公司的信息安全。 这种方法包括识别和评估信息资产,评估违反IS的风险,评估IS流程的成熟度,分析事件统计数据,分析公众评论和监管机构报告。
详细分析的结果使得在形成信息安全的未来趋势时可以合理选择保护措施,但是,这种方法的实施需要大量的金钱,时间和熟练的劳动力。 另外,由于这种方法可能需要相当长的时间,因此存在调查结果过时的可能性。
组合(专家)方法上述每种方法的应用都有很大的局限性,并不总是允许在可接受的时间内收集足够的信息来合理制定信息安全策略并形成项目组合。 因此,在实践中,将使用这些方法的各种组合,包括正式的分析方法和专家的实践经验。 通常,此方法基于对信息安全漏洞的高级别风险评估的初步分析,同时考虑到(机密)信息的重要性,信息流和信息系统的重要性。 将来,将对高风险的信息系统进行详细分析,而对于其他风险可能受到基本方法的限制。 此外,还对关键信息安全流程进行了详细的分析和描述,并对用于保护信息的工具和方法进行了评估,以评估其优缺点。
这种方法允许花费最少的时间和精力来识别当前状态,以获取必要的数据以形成信息安全的未来概况。 应当注意的是,采用这种方法的调查结果的客观性和质量将取决于调查方法的质量以及专家使用该方法的经验。
此外,值得一提的是,调查方法的选择和员工参与程度将由所使用的方法和调查方法来确定。 例如,基本方法可能仅限于内部文件和调查表的分析以及对关键员工的多次采访,而其他两种方法涉及更多的员工和更广泛的工具:
- 内部文件分析;
- 质疑
- 面试
- 外观检查;
- 使用专门的技术手段进行检查。
在此阶段结束时,无论选择哪种方法,都应该期望:
- 有关信息安全公司发展水平的专家意见;
- 对信息安全现状的整体评估;
- 说明信息安全的业务要求;
- 报告和演示阶段结果。
阶段3.制定信息安全目标配置文件。 在此阶段,解决了以下关键任务:
- 确保公司的战略目标与信息安全发展方向之间的关系;
- 制定信息安全战略的基本原则;
- 确定信息安全公司的未来状况。
就管理高级管理人员的期望而言,制定信息安全策略的主要障碍之一是缺乏明确的初始条件,即公司的发展策略以易于理解的方式清晰地描述了各个方面。 在实践中,通常,要么没有针对公司本身的发展战略,要么没有形式化,最多只能用言语表述。
企业,IT和IS代表共同制定IS任务的共同愿景,并考虑以下因素,共同解决了公司缺乏发展战略的问题:
- 公司计划采取什么措施,包括组织变革,市场和技术开发;
- 在业务和IT流程中计划进行哪些更改;
- 哪些重要的决定取决于信息的可靠性,完整性或可用性或信息的及时接收;
- 哪些类型的机密信息需要保护;
- 发生信息安全事件后,会对公司造成什么后果;
- 可以预期外部环境会发生什么变化,包括竞争对手的行为,法律的变化等。
这些问题的答案可以帮助制定公司提供信息安全的目标。 反过来,应该牢记,对于每个倡议或提议的行动,应评估可能或期望的结果,其实施的风险以及在拒绝实施的情况下的风险。
实际上,IS策略的基本原理决定了构建策略以及选择和实施解决方案时应遵循的全局规则集。 这些原则是根据战略目标,公司流程,投资机会等制定的,因此通常对于公司而言是个别的。 我们重点介绍一些通用原则:
- IS完整性:适用的软件和硬件解决方案以及组织措施必须相互协商并提供指定级别的安全性;
- 标准化和统一:应尽量减少使用的技术种类,以减少维护专业知识和决策,协调和整合,许可和维护的成本;
- 易于使用:提供信息安全性所使用的方法和手段不应导致人员错误动作的数量增加,而这一原则并不意味着架构的简化或功能的减少;
- 最小特权:该原则的本质是最小权限的分配,这不应导致违反用户的工作;
- 经济效率:应用的解决方案应努力降低总拥有成本,提高投资回报率,并优化评估投资经济效率的其他指标。
未来信息安全配置文件的形成是对一些部分矛盾的任务的解决方案:
- 遵守信息安全要求(法规,监管机构,制造商,合作伙伴等);
- 最小化违反IS的风险;
- 考虑到业务和IT流程的预期变化,确保符合业务目标;
- 提供信息安全的投资吸引力。
在形成信息安全的未来概况时,可以采用许多国际标准(ISO,COBIT,NIST等)和俄语(STO BR,GOST等)。 但是,请务必记住,没有标准可以完全适用于所有公司。 因此,您不应制定仅基于一个标准的策略,也不应在复本的基础上做任何事情。 归根结底,信息安全流程的所有组成部分必须有机地融入业务发展的逻辑中:一方面,不要过多地限制发展,另一方面,将风险保持在指定的范围内。
信息系统战略中也需要考虑的一个重要问题是人员的数量和资格,这对于确保基本职能的履行是必不可少的。 至少应该开发最简单的胜任力模型,除了工作职责外,它将确定员工所需的组织和行业知识与技能。 在制定信息安全策略时,最好只提供那些需要企业随后具备能力的解决方案,或者至少提供可以用最少的努力获得的能力。
另一个值得考虑的问题是外包。 它可以是一个很好的工具,可以加快许多信息安全功能的实施,并提供其操作支持。 在决定外包时,有必要考虑到相关风险,因为使用第三方公司提供IS并不总是意味着将责任转移给客户和监管机构,此外,在发生事件的情况下,客户通常不在乎是谁造成了失败。 在这种情况下,信息安全的管理和控制功能不应完全外包。
此阶段的结果将是:
- 信息安全发展的目标和原则;
- 描述目标信息安全系统的组成和功能;
- 目标信息安全管理过程的描述;
- 报告和演示阶段结果。
阶段4.信息安全项目组合的形成。 在最后阶段,解决了信息安全发展中的投资效率问题。 为此,正在形成一个信息安全项目组合,包括评估和选择潜在项目,确定其优先级和确定其可行性的标准。
有很多方法可以评估潜在项目以纳入投资组合:经济数学,专家分析,图形。 其中,在IT / IS项目中,广泛使用了专家分析方法,尤其是多重加权标准方法,该方法允许基于定量和定性标准进行评估,并考虑到其特殊性和易用性对项目进行优先级排序。 该方法的本质是为每个标准分配特定的权重,该权重是根据其对实现战略目标的重要性来确定的。 每个公司都有一套标准及其比重,并由其特殊性和活动规模决定。 在实践中,最常用的标准组是:财务标准,业务标准,风险标准。 使用此方法的评估过程很简单,包括以下步骤:
- 确定一套标准及其比重;
- 根据给定的标准对每个潜在项目进行评估;
- 计算每个潜在项目的整体评估;
- 根据综合评估对潜在项目进行排名。
评估项目后的下一步是形成一组最佳项目,从而在考虑到当前限制的情况下最好地确保公司战略目标的实现。 在此步骤中,要确定项目指标之间的重大差异,并在考虑其相互联系的情况下进行平滑处理。 通常,寻找最佳解决方案的主要准则是:
- 考虑到资金限制,尽快实施项目产生最大影响;
- 实施一系列相互关联的项目的效果。
在制定信息安全策略时,需要回答的最后一个问题是,如何在其后续实施过程中找出我们是否朝着正确的方向发展以及我们已经取得了多少进步。 为了评估实施信息系统战略的有效性,提出了一套指标。 度量标准应与公司的目标相一致,因此,在制定度量标准时,重要的是首先确定提供信息安全性所带来的实际业务利益,然后确定可用于评估该利益实现情况的标准。 通常,公司管理作为衡量指标,以金钱或对业务流程的影响程度来感知指标。 一个很好的选择是使用流程成熟度模型,它可以直观地评估IS流程的实施程度。
此阶段的结果将是:
- 信息安全项目的目标投资组合;
- 发展信息安全的“路线图”;
- 信息系统实施成功的风险和关键因素;
- 实施信息系统战略的指标和标准;
- 报告和演示阶段结果。
实施IS战略开发项目的风险
IS战略开发项目非常复杂,可能需要大量人员的努力,因此在项目开始时就必须考虑风险。员工缺乏参与项目团队的能力。参与者可能不会将制定战略的过程视为“实际工作”,因为这并不是他们日常工作的一部分。此外,参与计划过程通常意味着缺乏责任,实际执行计划的机会很小,并且从属部门中没有大量人员,而所有这些属性都与“状态”概念相关联。通过扩大项目团队的组成,通过指示项目责任的命令任命指导委员会的组成,协调员工参与计划以及保留参与项目的时间,可以在某种程度上减轻这种风险。变更项目团队的主要成员。更改任何主要参与者是一个相当痛苦的过程,因为它可能导致某些能力的丧失,团队内部职责的重新分配和(或)使新人沉浸在细节中的额外资源成本。这样的事件可能会对时间和质量产生负面影响。完全消除这种风险是不可能的,但是由于公司内部项目的公开性以及项目中透明信息和文档的可用性,可以将其最小化。承包商对过程的理解不正确或对过程的错误解释。信息安全策略的发展要求承包商的专家专注于陌生的领域,并且即使理解诸如条款之类的简单事物也会造成问题。通常,通过定期介绍,讨论临时结果和工作组中有争议的问题,可以将这种风险最小化。客户期望与项目结果不一致。
客户对开发IS策略的目的和目标的初步了解和制定不够清晰,也会严重影响质量和时机。解决此问题可以协调项目的目标,目的和局限性,以及在工作初期阶段就输出结果的格式和模板。为了最大程度地减少负面情况,问题管理过程的存在起着很大的作用,在此框架内进行问题的识别,注册和解决。为此,可以定期举行指导委员会会议,工作组会议和项目中期结果报告。结论
我想指出,IS战略应被视为管理公司IS开发的工具,旨在实现业务目标并最大程度地降低IS违规风险。该工具定义了信息安全开发目标的边界,并为战术决策设定了优先级,从而使实现此目标成为负责此任务的人员的可管理和可行任务。就像任何工具一样,IS战略可以针对任何随之而来的利弊进行粗化或准确的工作,因此,在开发它时,您应该遵循一个关键原则-IS战略必须与业务保持一致并且必须有实施它的机会。