Консалтинг в области ИБ

Сегодня консалтинг является важнейшей составной частью практически любого проекта. Именно поэтому возникла необходимость осветить тему наиболее подробно.

Определение консалтинга в области ИБ:

Консалтинг – это, прежде всего, вид интеллектуальной деятельности. Его основная задача заключается в анализе и обосновании перспектив развития, а также в использовании научно-технических и организационно-экономических инноваций с учетом предметной области и проблем клиента. Консалтинг решает вопросы управленческой, экономической, финансовой, инвестиционной деятельности организаций, стратегического планирования, оптимизации общего функционирования компании, ведения бизнеса, исследования и прогнозирования рынков сбыта, движения цен и т. д. Исходя из вышесказанного, постараемся сформулировать определение консалтинга в области информационной безопасности (далее ИБ).

 

Консалтинг в области информационной безопасности представляет собой комплекс услуг, оказываемых компанией-консультантом заказчику с целью определения:

 

-текущего уровня обеспечения (уровня зрелости) ИБ в организации, в соответствии с лучшими мировыми практиками по обеспечению ИБ, отраслевыми требованиями, а также с точки зрения эффективности противодействия существующим угрозам ИБ;

-направления развития ИБ, целей и решаемых задач с учетом стратегических целей развития организации;

-конкретных действий, необходимых для продвижения по выбранному направлению и достижения поставленных целей и задач.

Актуальность услуг по консалтингу в области ИБ

 

Сегодня консалтинг в области ИБ очень востребован на рынке. Это связано с актуальностью задач, решаемых с его помощью.

 

В каких же случаях и кто обращается в консалтинговую компанию? Можно выделить четыре основных повода.

 

Во-первых, это происходит тогда, когда организация не знает, на каком уровне развития находится информационная безопасность ее ресурсов, отвечает ли она потребностям бизнеса и внешним требованиям (законодательство, отраслевые, регулирующие требования, требования заказчиков и т.п.), нет полного понимания, какие действия необходимо предпринимать и нужны ли они вообще. При этом в штате организации отсутствуют квалифицированные специалисты, способные решить вышеперечисленные задачи.

Во-вторых, когда существующая система ИБ построена и функционирует неэффективно, и это сказывается на текущей деятельности. В такой организации часто возникают инциденты информационной безопасности, приводящие к значительным ущербам, остаются высокие риски реализации угроз ИБ из-за отсутствия или малой результативности отдельных мер по ее обеспечению. При этом в организации не хватает необходимого опыта и внутренних ресурсов для выстраивания эффективных защитных мер, а также обеспечения адекватной и своевременной реакции на возникающие инциденты ИБ.

 

В-третьих, когда существует явная необходимость привести имеющиеся механизмы обеспечения ИБ в соответствие с внешними требованиями в области информационной безопасности. В основном это относится к требованиям различных регуляторов в той отрасли, в которой работает организация. Сюда же можно отнести и выполнение требований законодательства.

В-четвертых, когда организация, достигнув нового, более высокого уровня развития, понимает, что существующий уровень обеспечения ИБ не только не удовлетворяет текущим потребностям, но и является сдерживающим фактором для дальнейшего развития. В данном случае необходимо выстроить процессы управления ИБ, тесно взаимоувязанные с существующими бизнес-процессами, что позволит перевести на более высокую ступень развития и управления ИБ в организации. Это, в свою очередь, поможет добиться прозрачности и ясности вопросов обеспечения информационной безопасности как для высшего руководства организации и существующих акционеров, так и для потенциальных инвесторов. Такой консалтинг заключается в построении системы управления ИБ в соответствии с лучшими мировыми практиками и, при необходимости, в подготовке системы управления к сертификации1 по международным стандартам в области ИБ.

 

Инициаторами приобретения услуг консалтинга в сфере информационной безопасности, как правило, являются:

-руководство организации, если оно хочет разобраться в том, на каком уровне находится ИБ в организации, сделать ее эффективной с точки зрения затрат и, соответственно, адекватной угрозам, что необходимо предпринять, чтобы улучшить состояние процессов обеспечения защиты информации. При этом руководство осознает, что собственных ресурсов для решения такой задачи недостаточно. В некоторых случаях руководство может быть инициатором приглашения внешнего консультанта, если хочет составить для себя объективную картину того, насколько качественно службы, ответственные за выполнение задач по обеспечению ИБ, выполняют их;

-служба автоматизации или служба информационной безопасности, когда существующий уровень компетенций сотрудников в части ИБ в целом недостаточен для решения поставленных задач по построению эффективной системы информационной безопасности;

-служба информационной безопасности в случаях, когда перед ней ставятся новые задачи, выходящие за рамки установленных обязанностей и компетенций (периодические работы, требующие высокой квалификации сотрудников, внедрение новых систем и технологий и т.п.). В данном случае внешние

высококвалифицированные специалисты привлекаются для решения данных специализированных задач, в то время как штатные сотрудники службы могут сконцентрироваться на решении профильных повседневных вопросов.

Виды консалтинга в области информационной безопасности

 

Каждый консалтинговый проект в области ИБ сам по себе уникален. Однако можно выделить основные виды услуг, предоставляемых консалтинговыми компаниями:

 

-аналитическая деятельность (анализ и оценка деятельности организации по защите информационных ресурсов, включая анализ эффективности применяемых средств и методов защиты информации, экспертизу ведущихся проектов в части ИБ, сравнительные исследования с показателями по отрасли и т. д.);

-прогнозирование (на основе проведенного анализа и используемых консультантом методик – составление прогнозов по указанным выше направлениям);

-консультации с выдачей рекомендаций по самому широкому кругу вопросов, касающихся защиты бизнес-процессов и ресурсов организации, разработки и внедрения мероприятий и систем защиты;

-стратегическое планирование деятельности организации в области ИБ и решение совокупности проблем, связанных с организацией управления информационной безопасностью.

 

Формы предоставления услуг также могут быть различными в зависимоси от сложности проекта и пожеланий заказчика:

-консультации с периодическими выездами на площадку заказчика для сбора исходных данных, согласования результатов анализа и выдаваемых рекомендаций;

-удаленные консультации без выезда на площадку заказчика;

-постоянное присутствие на площадке заказчика определенного числа консультанов в течении всего срока проекта (аутстаффинг).

Определение уровня информационной безопасности

 

Для определения уровня информационной безопасности, который обеспечивается в организации, проводится обследование состояния ИБ организации. Однако само по себе обследование не имеет смысла, если в результате не будут выработаны рекомендации по повышению уровня защищенности от существующих угроз в отношении информационных ресурсов компании.

 

Чаще всего такие работы называются аудитом информационной безопасности. Однако, понятия аудит и обследование стоит различать.

Аудиты проводятся, как правило, с целью сбора доказательств соответствия определенному стандарту или нормативному акту деятельности организации в области обеспечения ИБ.

И результатом аудита обычно является аудиторский отчет с указанием выявленных несоответствий, не содержащий конкретных рекомендаций по их устранению.

Обследование же, являясь по сути консультациями сотрудников заказчика, позволяет провести более глубокое изучение состояния информационной безопасности.

Его целью является не столько поиск несоответствий и свидетельств наличия этих несоответствий, сколько определение причин существующих проблем и выработка необходимых эффективных действий и мероприятий, которые помогут в их решении и приведут имеющиеся механизмы обеспечения ИБ в соответствие с требованиями по информационной безопасности, предъявляемыми к организации.

Обследование состояния ИБ – это наиболее востребованная, а потому и самая распространенная услуга по консалтингу в области информационной безопасности.

 

Обследование состояния информационной безопасности с разработкой рекомендаций:

Данная услуга заключается, главным образом, в оценке текущего уровня защищенности информационных систем (далее ИС) организации. На основе полученных сведений, разрабатываются рекомендации по реализации комплекса организационных и технических мер, повышающих существующий уровень ИБ. 

Такое обследование, как правило, проводится на начальном этапе работ по созданию комплексной системы информационной безопасности компании.

В число задач, решаемых при проведении работ по обследованию состояния информационной безопасности заказчика, входит:

-оценка состояния системы ИБ организации;

-оценка соответствия механизмов системы информационной безопасности организации выбранным критериям обследования;

-выявление актуальных проблем, связанных с обеспечением ИБ;

-формирование оптимальной и эффективной программы построения системы информационной безопасности организации.

 

В зависимости от задач, стоящих перед организацией, обследование состояния ИБ может включать в себя различные виды работ и критерии оценки, которые согласуются с исполнителем перед началом консалтингового проекта. В целом, все работы в ходе обследования выполняются в 3 этапа:

-информационное обследование;

-анализ полученной в ходе обследования информации;

-разработка и согласование рекомендаций по повышению уровня информационной безопасности организации.

 

Информационное обследование проводится с целью сбора и обработки всех данных, необходимых для принятия решения по определению текущего уровня защищенности ИС компании и разработке рекомендаций по его повышению. Такое обследование включает в себя сбор сведений:

-об информационной системе организации, защищенность которой будет оцениваться в ходе работ;

-о процессах обеспечения информационной безопасности в организации;

-о текущем уровне защищенности ИС.

 

Сбор данных об информационной системе организации.

Работы этого этапа включают получение сведений:

-об организационной структуре заказчика;

-о структуре комплекса используемых программно-технических средств;

-о характеристиках используемых каналов и точек подключения к сетям связи и сети Интернет;

-о структуре информационных потоков в ИС.

Информационное обследование также может включать сбор информации о следующих системах и сервисах:

прикладные автоматизированные системы:

-автоматизированные системы управления деятельностью организации (для промышленных предприятий – АСУТП; для кредитно-финансовых организаций – АБС, процессинговые системы, системы дистанционного банковского обслуживания;

-для телекоммуникационных компаний – автоматизированные системы расчетов с абонентами и т.п.);

-системы управленческого анализа;

-системы класса CRM/ERP;

-средства подготовки и отправки отчетности;

-системы электронного документооборота и т.п.;

-инфраструктурные автоматизированные системы и сервисы:

службы каталогов;

-сервисы ЛВС;

-беспроводные системы и сервисы (WiFi, Bluetooth и т.п.);

-службы терминального доступа;

-электронная почта;

-сервис доступа в сеть Интернет;

-сервис файлового обмена и т.п.

 

Сбор информации о процессах обеспечения ИБ в организации проводится с целью оценки общего состояния данных процессов и их соответствия целям компании. При этом консультанты знакомятся с организационно-распорядительными документами по ИБ, утвержденными в обследуемой организации, а также проводят интервью с представителями высшего руководства, с руководителями основных и вспомогательных подразделений заказчика.

В процессе выполнения работ на данном этапе проводится:

-оценка зрелости процессов ИБ;

-оценка степени внедрения процессов информационной безопасности с целью выяснения того, насколько широко применяются рассматриваемые процессы;

-анализ существующей нормативно-распорядительной документации по обеспечению ИБ.

 

При анализе нормативно-распорядительной документации проводится проверка наличия в организации нормативно-регламентирующей базы по обеспечению информационной безопасности:

-организационной инфраструктуры с установленными обязанностями по обеспечению информационной безопасности для сотрудников всех должностей;

-утвержденной политики обеспечения информационной безопасности (политика парольной защиты, политика антивирусной защиты, политика реагирования на нарушения ИБ, политика использования ресурсов сети Интернет, положение о конфиденциальности и т.п.);

-документированных правил обращения с информационными ресурсами, включая правила отнесения данных к определенным категориям (перечень сведений, составляющих конфиденциальную информацию, регламент назначения и разграничения прав доступа к данным);

-документированных процессов обслуживания и администрирования информационной системы и используемых средств защиты, а также мер обеспечения бесперебойной работы.

Кроме того, в ходе работ специалистами компании-консультанта проводится экспресс-опрос сотрудников бизнес-подразделений организации с целью определения уровня знания, понимания и соблюдения положений политики и других документов по ИБ.

Результатом работ на данном этапе является оценка зрелости существующих процессов информационной безопасности и полноты существующих нормативно-регламентирующих документов, а также их применения сотрудниками в своей повседневной деятельности.

 

На рассматриваемом этапе собираются данные о встроенных механизмах обеспечения информационной безопасности в прикладных и инфраструктурных системах, а также об используемых наложенных средствах защиты информации.

Этап сбора информации о текущем уровне защищенности ИС может также включать инструментальный анализ защищенности информационной системы организации2, который делится на две части: анализ защищенности внешних и внутренних ресурсов ИС.

Инструментальный анализ из сети Интернет имитирует действия внешних злоумышленников, которые обладают высоким уровнем знаний в области вычислительной техники и получают информацию об ИС из открытых источников.

Результатом таких работ является экспертная оценка потенциальной возможности совершения несанкционированного воздействия или нанесения ущерба ресурсам информационной системы со стороны внешних злоумышленников.

Внутренний инструментальный анализ имитирует действия внутренних злоумышленников, являющихся зарегистрированными пользователями информационной системы организации.

Результатом этих работ является экспертная оценка потенциальной возможности совершения несанкционированного воздействия или нанесения ущерба ресурсам информационной системы со стороны внутренних злоумышленников, а также защищенности эксплуатируемых в информационной системе прикладных систем, операционных систем и баз данных.

 

Анализ полученной информации:

На этом этапе проводится экспертная оценка текущих показателей защищенности основных ресурсов ИС, определяется возможность нарушения конфиденциальности, целостности и доступности ресурсов информационной системы с использованием выявленных уязвимостей внешними и внутренними нарушителями.

Критериями принятия решений при анализе полученной информации и выработке рекомендаций являются:

-экспертное мнение специалистов компании-консультанта, имеющих большой опыт предоставления консалтинговых услуг организациям различных областей деятельности;

-мнение высшего руководства организации;

-результаты интервью с персоналом организации;

-требования законодательства;

-требования нормативных документов и стандартов как отраслевых, так и самой организации.

 

Подробнее: http://www.jetinfo.ru/stati/konsalting-v-oblasti-informatsionnoj