воскресенье, 18 ноября 2012 г.

Уровни зрелости процессов обеспечения информационной безопасности

Уровень зрелости - величина отражающая насколько процесс управляем и предсказуем. Для ИТ-процессов модель зрелости описана в методологии CobIT. Для процессов обеспечения ИБ выделяют следующие 4 уровня зрелости:

0-й уровень зрелости в ИБ

  • ИБ никто не занимается 
  • руководство не осознает важности проблем ИБ
  • финансирование отсутствует
  • ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам)

1-й уровень зрелости в ИБ

  • ИБ рассматривается руководством как чисто «техническая» проблема
  • отсутствует единая концепция или политика развития системы обеспечения информационной безопасности (СОИБ) компании
  • финансирование ведется в рамках общего ИТ-бюджета
  • ИБ реализуется средствами нулевого уровня плюс средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN, т.е. традиционные средства защиты

2-й уровень зрелости в ИБ

  • ИБ рассматривается руководством как комплекс организационных и технических мероприятий 
  • существует понимание важности ИБ для производственных процессов 
  • есть утвержденная руководством программа развития СОИБ компании
  • финансирование ведется в рамках отдельного бюджета
  • ИБ реализуется средствами первого уровня плюс средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS, средства анализа защищенности, SSO, PKI и организационные меры

3-й уровень зрелости в ИБ

  • ИБ является частью корпоративной культуры
  • назначен CISA или CISO
  • финансирование ведется в рамках отдельного бюджета;
  • информационная безопасность реализуется средствами второго уровня плюс системы управления информационной безопасностью, CSIRT (группа реагирования на инциденты информационной безопасности), SLA (соглашение об уровне сервиса).
Источник: материалы лекция Алексея Басенко