Етапи розробки концепції інформаційної безпеки

Розробка концепції інформаційної безпеки телекомунікаційної компанії в повному обсязі є процедурою, що вимагає значних трудовитрат, а також значного фінансування.

Наведені нижче рекомендації з розробки концепції дозволяють оптимізувати витрати на її створення. Цими рекомендаціями передбачено поетапну розробку концепції з поетапним фінансуванням робіт.

Етап1.Прінятіерешенія, формірованіерабочейгруппи. На даному етапі керівництво компанії має прийняти рішення про необхідність розробки концепції інформаційної безпеки, а також про цілі, переслідуваних даної розробкою.

Цілі розробки можуть бути наступні:

1. отримання цілісної системи поглядів на стан ІБ в компанії;
2. скорочення втрат внаслідок неналежного стану системи ІБ;
3. створення нової (реконструкція існуючої) системи ІБ;
4. документування вже існуючої системи ІБ;
5. отримання конкурентної переваги перед компаніями, які не мають концепції.

Після визначення цілей розробки на даному етапі формується робоча група. До складу робочої групи необхідно включити представників наступних підрозділів:

1. служба безпеки компанії;
2. підрозділ, відповідальний за захист інформації;
3. IТ-департамент;
4. служба експлуатації мережі зв'язку;
5. служба розвитку;
6. відділ економічної безпеки;
7. технічна служба;
8. фінансова служба.

Етап2.Составленіепланаразработкіконцепціі. Визначення обсягів фінансування зі збору вихідних даних. На даному етапі формується календарний план заходів з розробки концепції, а також визначаються самі заходи з розробки та вартість їх проведення.

Перелік заходів з розробки включає:

1. збір вихідних даних (можливо аж до повного аудиту системи ІБ);
2. обробку вихідних даних;
3. вибір варіанта концепції ІБ
4. формування підгрупи по розробці КІБ;
5. формування підгрупи по розробці ПІБ;
6. формування групи з проектування системи ІБ.

Найбільш витратним на даному етапі є збір вихідних даних, тому перш ніж перейти безпосередньо до робіт зі збору ВД, необхідно повністю задіяти можливості підрозділів Компанії за самостійним надання вихідних даних, необхідних для концепції. Після визначення обсягу фінансування робіт зі збору вихідних даних необхідно приступати до третього етапу.

Етап3.Сборісходнихданних. На даному етапі силами робочої групи або на основі залучення субпідрядних організацій здійснюється збір вихідних даних для розробки концепції. Як зазначено вище, в разі явного морального старіння системи захисту інформації, її недостатності або недокументірованності на даному етапі необхідно провести повний аудит інформаційної безпеки компанії. Аудит з'явиться джерелом вихідних даних для розробки концепції. Аудит доведеться проводити також і після реалізації заходів по концепції, тому з метою зниження витрат попередній аудит бажано проводити за спрощеними методиками.

Етап4.РазработкаКІБ.Определеніезатратнаразработку ПІБ. На підставі зібраних вихідних даних здійснюється розробка КІБ (нормативна частина). В даному документі вже будуть відображені основні вимоги до системи ІБ і вимоги до її нормативного забезпечення. Вартість розробки ПІБ визначається наступними факторами:

1. повнотою зібраних вихідних даних;
2. рівнем безпеки, який повинен бути забезпечений відповідно до нормативної частиною концепції;
3. вимогами до техніки та нормативного забезпечення;
4. складністю інфотелекоммунікаціонной структури мережі зв'язку та інформаційної системи.

Етап5.РазработкаПІБінорматівнихдокументов. На даному етапі розробляється технічна частина концепції - ПІБ. Вимоги до ПІБ сформульовані в нормативної частини, а вихідні дані можуть уточнюватися в міру розробки ПІБ.

Паралельно з розробкою ПІБ проводиться розробка документів, визначених нормативною частиною концепції - положень, інструкцій і т.д. Оскільки ПІБ деталізує технічні характеристики системи захисту інформації, на даному етапі розробляються документи будуть наповнені конкретним матеріалом і оптимізовані під бізнес-процеси компанії.

Етап6.Разработкаекономіческойчастіконцепціі. Після розробки ПІБ, що містить деталізовані вимоги до техніки, приміщень, умов експлуатації, а також інструкції та інші нормативні документи, можна оцінити вартість:

1. реалізації КІБ;
2. володіння системою інформаційної безпеки;
3. інших постійних і змінних витрат в рамках положень концепції.

На підставі запропонованої в даній НДР методики (або іншої методики) необхідно розрахувати окупність вкладень, в разі необхідності провести коригування концепції.

Етап7.Корректіровкаконцепціі (проводітсяпрінеобходімостісніженіязатратнареалізацію). На даному етапі доцільно виділити два рівня забезпечення безпеки - базовий і підвищений.

У базовий рівень необхідно включити ті заходи і вимоги концепції, які мінімально необхідні для компанії і вигода від реалізації яких перевищує витрати.

У підвищений рівень включаються ті заходи і вимоги, які необхідні тільки для обмеженого виду інформаційних ресурсів, а для інших бажані. При цьому необхідно забезпечити порівнянність цінності ресурсів, що захищаються за підвищеними вимогами, до витрат на захист.

Корекція проводиться до тих пір, поки вартість системи інформаційної безпеки не стане нижче принесеної користі. Зауважимо, що в принесену вигоду необхідно включати скорочення втрат від ризиків порушення режиму безпеки і ризиків, ними генеруються.

Етап8.Утвержденіеконцепціііознакомленіесотрудніков компанії. Даний етап є завершальним у розробці концепції. Концепція повинна бути обговорена колегіальним керівним органом компанії, затверджена і введена наказом по компанії.

Співробітники компанії повинні бути ознайомлені з концепцією і документами, розробленими в її рамках (у межах компетентності співробітників).

Схожі статті

• Ноу Інти, лекція, розробка та впровадження інформаційної системи

• Негативний образ росії в зарубіжних змі як загроза інформаційній безпеці держави,

• Ix міжнародний салон «комплексна безпека-2018» відбувся - зброя росії інформаційне