КОД ИБ: информационная безопасность

Комплексная диагностика текущего состояния ИБ #опытэкспертов

Делимся опытом Георгия Руденко, CISO крупного банка и автора Telegram-канала "Кибербез & Бизнес"

Один из ключевых этапов при построении стратегии информационной безопасности — понять, где вы находитесь сейчас (состояние AS IS).

Для этого нужно выполнить следующие шаги:

*️⃣Определить всех стейкхолдеров, понять их отношение к ИБ и собрать ожидания. В предыдущем посте уже обсуждался анализ ожиданий руководства (как часть этого шага).

*️⃣Провести интервью с сотрудниками своей команды. Выяснить, как развивались основные процессы, какие есть проблемы, как принимаются решения.

*️⃣Оценить текущий уровень зрелости процессов ИБ. Для этого удобно использовать известные стандарты (например, от NIST, ISO). Главное — не упустить важные направления/домены и выявить все крупные «серые зоны».

*️⃣Проанализировать ИТ-процессы: насколько хорошо ведётся учёт активов, как работает управление изменениями, насколько развиты другие инженерные практики.

*️⃣Изучить внутренние документы и требования законодательства, относящиеся к вашему бизнесу. Например, обработка персональных данных есть у всех, а вот объекты КИИ нет.

*️⃣Провести практический анализ защищённости. Лучше с привлечением внешних подрядчиков — это позволит получить свежий взгляд на слабые места (в дополнение к самоанализу).

*️⃣Проанализировать, какие инструменты ИБ сейчас используются — составить карту средств защиты и понять, насколько они покрывают ваши потребности.

*️⃣Изучить исторические инциденты, замечания аудитов и других проверок (если есть такая информация).

*️⃣Понять, как работает сам бизнес, как дела в операционной деятельности и какая общая стратегия развития.

*️⃣Оценить внешнюю среду: какие угрозы, тренды и риски актуальны для вашей отрасли и компании.

Обычно такая диагностика занимает 3–6 месяцев (в зависимости от размера организации).

⏩Action point:

Выдерживайте сроки проведения данного этапа и не закапывайтесь в технических деталях, на этом этапе намного важнее комплексность проводимого анализа.

Даже после проведения очень качественной диагностики и завершения формирования стратегии ИБ, через год потребуется делать очень много обновлений. Это связано с тем, что по мере реализации инициатив стратегии будут возникать новые нюансы, которые невозможно выявить до старта начала работы над задачами.

Please open Telegram to view this post

VIEW IN TELEGRAM

🔥5❤3👍3

www.tgoop.com/codeibnews/3704

928 viewsNov 28 at 13:32

Комплексная диагностика текущего состояния ИБ #опытэкспертов

Делимся опытом Георгия Руденко, CISO крупного банка и автора Telegram-канала "Кибербез & Бизнес"

Один из ключевых этапов при построении стратегии информационной безопасности — понять, где вы находитесь сейчас (состояние AS IS).

Для этого нужно выполнить следующие шаги:

*️⃣Определить всех стейкхолдеров, понять их отношение к ИБ и собрать ожидания. В предыдущем посте уже обсуждался анализ ожиданий руководства (как часть этого шага).

*️⃣Провести интервью с сотрудниками своей команды. Выяснить, как развивались основные процессы, какие есть проблемы, как принимаются решения.

*️⃣Оценить текущий уровень зрелости процессов ИБ. Для этого удобно использовать известные стандарты (например, от NIST, ISO). Главное — не упустить важные направления/домены и выявить все крупные «серые зоны».

*️⃣Проанализировать ИТ-процессы: насколько хорошо ведётся учёт активов, как работает управление изменениями, насколько развиты другие инженерные практики.

*️⃣Изучить внутренние документы и требования законодательства, относящиеся к вашему бизнесу. Например, обработка персональных данных есть у всех, а вот объекты КИИ нет.

*️⃣Провести практический анализ защищённости. Лучше с привлечением внешних подрядчиков — это позволит получить свежий взгляд на слабые места (в дополнение к самоанализу).

*️⃣Проанализировать, какие инструменты ИБ сейчас используются — составить карту средств защиты и понять, насколько они покрывают ваши потребности.

*️⃣Изучить исторические инциденты, замечания аудитов и других проверок (если есть такая информация).

*️⃣Понять, как работает сам бизнес, как дела в операционной деятельности и какая общая стратегия развития.

*️⃣Оценить внешнюю среду: какие угрозы, тренды и риски актуальны для вашей отрасли и компании.

Обычно такая диагностика занимает 3–6 месяцев (в зависимости от размера организации).

⏩Action point:

Выдерживайте сроки проведения данного этапа и не закапывайтесь в технических деталях, на этом этапе намного важнее комплексность проводимого анализа.