Журнал "Information Security/ Информационная безопасность" #4, 2019

мостей, обеспечение защиты от вредоносного кода и безопас- ность прикладного ПО, защиту и контроль использования бес- проводных устройств, организа- цию восстановления данных; l порядок осуществления конт- роля используемых сетевых пор- тов, протоколов и служб, если осуществляется, то каким обра- зом, мониторинга и контроля административных привилегий, контроль осуществления досту- па пользователей к объектам доступа, мониторинга и анализа журналов регистраций событий; l каким образом осуществ- ляется реагирование на возни- кающие инциденты информа- ционной безопасности и обес- печивается безопасность ЛВС; l имеющиеся организационно- распорядительные документы, обеспечивающие режимные меры (пропускной режим, орга- низация допуска в режимные помещения, СКУД и видеона- блюдение); l введенные меры обеспечения кадровой безопасности. Итог шестого этапа: получе- ние предварительной инфор- мации о внедренных мерах обеспечения безопасности в организации (рис. 5). По моему опыту, в зависимо- сти от размеров организации, структуры ИТКС временной интервал проведения вышеопи- санных этапов силами двух сотрудников может занимать от одного до шести месяцев. И вот, после значительного количества затраченного рабоче- го и личного времени, несмотря на истерзанные нервные клетки и не ко времени появившуюся седину, вы являетесь обладате- лем бесценной информации, кото- рая в полной мере будет отражать реальное состояние факторов. влияющих на состояние инфор- мационной безопасности в целом. В дальнейшем, используя имеющиеся сведения, необхо- димо подготовить краткий по содержанию, но емкий по смыс- лу отчет руководству организа- ции о состоянии дел. А получив высочайшее одобрение – при- ступить к разработке концепции информационной безопасности, стратегии развития, политик, регламентов и… Но это уже совсем другая история. l • 21 УПРАВЛЕНИЕ www.itsec.ru Рис. 5. Шестой этап аудита Эксперты в области информационной безопасности не слишком щедры на описание своих историй успеха. Ситуация вполне объяснима характером и направ- ленностью отрасли и вряд ли подвержена сильным изменениям. Одно свойство связывает все рассказываемые и опи- сываемые случаи достижения неоспо- римого результата (как в ИТ, так и в информационной безопасности): наличие логических связок внутри повествования и четко прослеживаемая причинно-след- ственная связь в совершаемых дей- ствиях. И если проекты автоматизации процессов в основном нацелены на полу- чение экономии (ресурсов, времени, денег), то проекты по информационной безопасности на каждом этапе требуют идентификации сущностей, которыми оперируют. Один из соответствующих примеров приведен в статье раздела. Другое неотъемлемое действие в рамках таких историй успеха от информационной безопасности – формализация. Фиксация параметров ИТ-актива, решений по его категоризации, ответ- ственных за мероприятия – это самый популярный механизм выведения процесса/проекта на следующий уровень, первый шаг для закрепления формируемого процесса в стенах компании. Дружное шествие современных итеративных методологий формирования результата–продукта путем вербальных ком- муникаций здесь сталкивается с привычкой к compliance, при- витых годами троекнижия и практикой проверок необходимой документации (иногда без проверки сути написанного). Но есть и другой фактор, скрытый от поверхностной оценки, – это простейшее человеческое желание разобраться в том, что происходит, принимать решения с минимальной долей веро- ятной ошибки. Американские популярные тренеры и коучи очень любят прием донесения информации через многочисленное повто- рение простой идеи. Попробую пойти этим проверенным путем и продекламирую: любая история успеха начинается с увеличения прозрачности происходящего вокруг вас. Больше историй, коллеги мои! Лев Палей, начальник отдела ИТ- обеспечения защиты информации, АО “СО ЕЭС" Колонка эксперта Ваше мнение и вопросы присылайте по адресу is@groteck.ru