Уровень зрелости - величина отражающая насколько процесс управляем и предсказуем. Для ИТ-процессов модель зрелости описана в методологии CobIT. Для процессов обеспечения ИБ выделяют следующие 4 уровня зрелости:
0-й уровень зрелости в ИБ
- ИБ никто не занимается
- руководство не осознает важности проблем ИБ
- финансирование отсутствует
- ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам)
1-й уровень зрелости в ИБ
- ИБ рассматривается руководством как чисто «техническая» проблема
- отсутствует единая концепция или политика развития системы обеспечения информационной безопасности (СОИБ) компании
- финансирование ведется в рамках общего ИТ-бюджета
- ИБ реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN, т.е. традиционные средства защиты
2-й уровень зрелости в ИБ
- ИБ рассматривается руководством как комплекс организационных и технических мероприятий
- существует понимание важности ИБ для производственных процессов
- есть утвержденная руководством программа развития СОИБ компании
- финансирование ведется в рамках отдельного бюджета
- ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS, средства анализа защищенности, SSO, PKI и организационные меры
3-й уровень зрелости в ИБ
.jpg)
- ИБ является частью корпоративной культуры
- назначен CISA или CISO
- финансирование ведется в рамках отдельного бюджета;
- информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты информационной безопасности), SLA (соглашение об уровне сервиса).
Источник: материалы лекция Алексея Басенко
Комментариев нет:
Отправить комментарий