Описание процесса повышения зрелости ИБ

Типизация позволяет формировать обобщённый подход к решению задач. В части информационной безопасности много говориться о типизации архитектур защищаемых объектов и достаточно мало о том, что вообще из себя должная представлять система ИБ, чтобы выполнять свои функции.

Как и любая информационная система и функция бизнеса – система информационной безопасности – это совокупность людей, процессов и технологий. И в зависимости от зрелости компании – набор типовых решений для одного и того же объекта может быть разный. При этом целевое состояние защищённости объекта – это набор решений для наиболее зрелой системы ИБ.

Таким образом, для достижения наилучшего результата надо цикличной пройти определённый путь:

1. Определить текущую зрелость ИБ;

2. Выполнить характерные для неё требования;

3. Выполнив все требования, реализовать пункты 1 и 2 повторно, до момента когда все защищаемые объекты не будут в наивысшей степени зрелости.

Опираясь на ГОСТ Р ИСО/МЭК 21827:2008 «Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем защиты. Модель зрелости возможностей (SSE-CMM)» [ISO/IEC 21827:2008 «Information technology — Security techniques — Systems Security Engineering — Capability Maturity Model (SSE-CMM)»], можно выделить 5 уровней зрелости (рис 1):

Уровень 1 – Неформальное выполнение:

1.1 Базовые практики выполнены.

Уровень 2 - Запланированное и отслеживаемое управление:

2.1 Планирование выполнения.

2.2 Упорядоченное выполнение.

2.3 Проверка выполнения.

2.4 Отслеживание выполнения.

Уровень 3 - "Четко Определенный":

3.1 Определение стандартного процесса.

3.2 Выполнение заданного процесса.

3.3 Координация практических приемов.

Уровень 4 – Количественное управление:

4.1 Определение измеримых целей обеспечения качества.

4.2 Объективное управление выполнением.

Уровень 5 - Постоянное улучшение:

5.1 Улучшение организационных возможностей;

5.2 Улучшение эффективности процесса.

Рис 1.

При этом есть набор процессов, характерных для непрерывно улучшающейся системы:

- РА01 управляет средствами защиты;

- РА02 оценивает воздействие;

- РАОЗ оценивает риск безопасности;

- РА04 оценивает угрозу;

- РА05 оценивает уязвимость;

- РА06 формирует аргумент доверия;

- РА07 координирует задачи безопасности;

- РА08 проводит мониторинг состояния безопасности;

- РА09 предоставляет входные данные по безопасности;

- РА10 обозначает потребности в безопасности;

- РА11 проверяет и подтверждает состояние безопасности

- РА12 обеспечивает качество;

- РА13 управляет конфигурацией;

- РА14 управляет проектным риском;

- РА15 осуществляет мониторинг и управляет технической деятельностью;

- РА16 планирует техническую деятельность;

- РА17 определяет процесс системного проектирования организации;

- РА18 совершенствует процесс системного проектирования организации;

- РА19 управляет развитием производственных линий;

- РА20 управляет средой поддержки системного проектирования;

- РА21 постоянно обеспечивает практические навыки и знания;

- РА22 осуществляет сотрудничество с поставщиками.