Журнал "Information Security/ Информационная безопасность" #3, 2019

По каждой задаче нам необходимо определить, кто ее исполняет (R – Respon- sible), кто ответственен за результат (A – Accountable), кто консультирует до испол- нения (C – Consult before doing), кто должен быть опо- вещен после исполнения (I – Inform after doing). Таким образом, мы получим так называемую матрицу RACI распределения обязанно- стей. Как будет выглядеть самая тривиальная модель распределения обязанностей? Вот у нас есть отдел ИБ: началь- ник, Вася, Петя и Ваня. Руководитель ИБ гово- рит: "Вася, ты будешь у нас за антивирусы и по уязвимостям, Петя, ты занима- ешься сетями и их безопас- ностью, Ваня, ты в ответе за мониторинг событий ИБ, а я буду согласовывать доступы и спра- шивать вас "как дела?". Есть ли тут процессы? Как будет разви- ваться работа? Думаю, в данном варианте все будет сводиться к личностным качествам каждого сотрудника и "понятийному" взаимодействию. Да и в такой схеме не учитываются смежные подразделения, которые могут быть напрямую завязаны на задачи ИБ. Как же нам это переродить в процессную деятельность? Давайте для начала ответим на вопросы: какие процессы и зачем они нужны? За базовую модель можно взять тот же стан- дарт ISO 27001, разбавив его своим восприятием работы ИТ и ИБ в конкретной компании. Сформируем табл. 1 с процес- сами и их целями. Для каждого процесса нам необходимо понимать ответ на вопрос "как?", т.е. определить текущий перечень задач. Поми- мо самих задач, мы сразу можем определиться с ответом на вопрос "кто?". Рассмотрим типовую структуру холдинговой компании и ее подразделений Пусть у нас имеется головная компания (ГК) и ее филиалы. При этом каждый филиал имеет свою инфраструктуру ИТ. Посмотрим, как можно интер- претировать наши процессы в форме RACI-матрицы. Рас- смотрим процесс управления инцидентами ИБ, приведенный в табл. 2. Давайте разберемся, как это читать. Менеджер инцидентов ИБ ГК подготавливает докумен- ты, которые будут определять сам процесс управления инци- дентами ИБ, при этом он кон- сультируется у руководителя ИБ ГК, и за само написание документов также ответственен руководитель ИБ головной ком- пании. Руководитель ИБ филиа- ла адаптирует их для самого филиала, при этом уточняя детали у своего руководителя ИТ и консультируясь с менед- жером по инцидентам ГК, а ответственным за адаптацию и ввод документов в действие будет руководитель ИБ ГК. После написания документа с ним ознакомляются все вовле- ченные сотрудники. Руководитель ИБ филиала ста- вит задачи по настройке системы мониторинга, специалист эти задачи выполняет, консультиру- ясь у профильных ИТ-специали- стов. По результатам всех настроек все вовлеченные ИТ- специалисты информируются. Далее происходит мониторинг событий ИБ, их эскалация до инцидента, а затем реагирова- ние на сам инцидент со стороны профильного ИТ/ИБ-специали- ста по рекомендациям менед- жера инцидентов ИБ. По резуль- татам инцидента ИБ пишется отчет и ведется реестр менед- жером инцидентов ИБ ГК по каждому филиалу, ответствен- ным за это является руководи- тель ИБ ГК. Менеджером инци- дентов ИБ также ведется реестр типовых сценариев реагирова- ния на инциденты ИБ. Результа- том всей деятельности может являться то, что самые критич- ные инциденты и отчеты по ним обсуждаются на планерках руко- водства головной компании. В данном примере было при- ведено только два подразделе- ния с разных уровней иерархии компании. Но в различных направлениях ИБ круг может сильно расширяться, например 44 • УПРАВЛЕНИЕ Распределение обязанностей в процессах ИБ (RACI) Андрей Пряников, заместитель директора по безопасности по защите информации, ООО ТД “УНКОМТЕХ” Процесс Цель Задачи процесса Управление инцидентами ИБ Гарантировать системный и эффективный подход к управлению См. табл. 2 (Information Security Incident инцидентами ИБ, включая управление взаимодействием при обнаружении management) событий ИБ и слабых сторон Управление доступами Ограничить доступ к информации и средствам ее обработки. *** (Access control) Предотвращать попытки несанкционированного доступа, гарантировать возможность доступа легитимных пользователей. Сделать пользователей ответственными за управление аутентификационной информацией *** *** *** *** – необходимо описать все процессы ИБ в компании, даже те, которые пока неактивны. Табл. 1. Перечень процессов ИБ ормирование процессов информационной безопасности порождает множество вопросов: “какие?”, “зачем?”, “как?”, “кто?”, “когда?”, “сколько?”... В этой статье постараемся понять, как правильно отвечать на некоторые из них. Давайте попробуем пойти от простого к более сложному и, тем самым, от неуправляемого к формализованному. Ф