Журнал "Information Security/ Информационная безопасность" #4, 2019

В ходе интервью со спе- циалистами организации или в крайнем случае в форме запросов устано- вить: l сферу деятельности, в которой функционирует организация; l основные принципы построения и функциониро- вания организации; l порядок взаимодействия с другими организациями; l имеющиеся организа- ционно-распорядительные документальные материалы, регламентирующие деятель- ность организации; l перечень основных и вспомогательных бизнес- процессов организации, подразделений, которые обеспечивают их функцио- нирование, а также их руко- водителей и заместителей. Тот факт, что вы назначены на должность специалиста по инфор- мационной безопасно- сти, несомненно, имеет положительное значе- ние и означает, что руко- водство организации озаботилось вопросами обес- печения ИБ. Причин тому может быть несколько. Вот самые характерные: l это модно; l предприятию в скором вре- мени предстоит посещение представителями регулирую- щих органов; l предприятие посетили пред- ставители регулирующих орга- нов; l руководство предприятия пожинает плоды реализовав- шейся угрозы информационной безопасности. Вне зависимости от причин вы, заручившись поддержкой руководства, засучив рукава, бросаетесь в бой. С чего начать? Первый вопрос: с чего начать? И здесь на помощь приходит до боли знакомое слово – аудит. Остается разо- браться в том, что именно необходимо аудировать. Так как в настоящее время практически ни один бизнес- процесс в организации не обхо- дится без использования в своей основе информационных технологий (локальные вычис- лительные сети, автоматизиро- ванные системы управления, информационные системы, сети и т.д.), то необходимо провести их полную и всестороннюю оценку. Аудит общего состояния ИБ является одним из важнейших этапов, качество выполнения которого в значительной сте- пени будет влиять на построе- ние системы обеспечения информационной безопасности объекта в целом. Он проводится с целью опре- деления актуальных угроз и прогнозирования последствий при их реализации. По оконча- нии аудита у вас должен быть сформирован перечень органи- зационных мероприятий по построению системы обеспече- ния ИБ, которые позволят избе- жать или минимизировать риски реализации угроз. Проведение аудита общего состояния ИБ я намеренно не привязываю к какому-либо стандарту. Если вы перешли в новую для себя сферу эконо- мической деятельности (как пример, из ритейла в промыш- ленность), то вам необходимо составить для себя полное пони- мание функционирования реа- лизованных в организации про- изводственных процессов, как основных, так и вспомогатель- ных, которые обеспечивают его вид деятельности. В моей практике создавать системы обеспечения ИБ в основном приходилось на пред- приятиях промышленности, и данная статья будет основы- ваться именно на этом практи- ческом опыте. Однако будет неверно говорить, что рассмат- риваемые мероприятия нельзя применять и в других отраслях экономики. Правильно используя полу- ченные выходные данные, даль- нейшее построение системы информационной безопасности можно будет обосновывать не "страшилками", а реальными расчетами и показаниями, кото- рые оказывают значительное влияние на основные виды дея- тельности организации, что неоднократно подтверждалось опытным путем. Следует также отметить, что уровень зрелости ИТ и ИБ боль- шинства организаций, в кото- рых проводился аудит по ука- занной схеме, можно оценить на 2 по пятибалльной шкале. Первый этап аудита Цель: собрать наиболее пол- ную информацию об организа- ции, ее структуре, назначении и реализованных бизнес-про- цессах (основных и вспомога- тельных). В ходе интервью со специа- листами организации или в крайнем случае в форме запросов установить: l сферу деятельности, в кото- рой функционирует организа- ция; l основные принципы построе- ния и функционирования орга- низации (организационно-штат- ная структура, порядок управ- ления и принятия решений); l порядок взаимодействия с другими организациями (вышестоящими по иерархии, дочерними и зависимыми обще- ствами и т.д.); 18 • УПРАВЛЕНИЕ Просто о сложном, или Как провести аудит астал тот долгожданный день и час, когда ваши усилия были вознаграждены. Вы получили заветную должность, как правило руководителя и специалиста по информационной безопасности в одном лице. В тот же час приступили к созданию системы, которая в скором обозримом будущем в полной мере обеспечит безопасность объекта защиты. Н Александр Луганцев, начальник отдела информационной безопасности, ПАО “Микрон" Рис. 1. Первый этап аудита