чувствительности, а, наоборот, с их отсутствием, которое приводит к пренебрежению правилами безопасного хранения и защиты. Поэтому надлежащее ведение и хранение метаданных следует считать абсолютно приоритетным направлением работы, важность которого перекрывает гипо тетический риск взлома репозитория метаданных. Этот риск можно считать незначительным, поскольку опытному хакеру на порядок проще отыскать в сети и взломать незащищенное хра нилище собственно чувствительной информации, а не разбираться с ее метаданными. К сожа лению, чаще всего непонимание необходимости защиты чувствительных данных свойственно именно тем сотрудникам, которые непосредственно с ними работают.

3.7 Маскировка / Шифрование данных

Инструменты маскировки или шифрования полезно использовать для наложения ограничений на представление чувствительных данных при их перемещении (см. раздел 1.3.9).

4. МЕТОДЫ

Методы, применяемые при управлении информационной безопасностью, зависят от размера ор ганизации, сетевой архитектуры, типа подлежащих защите данных, политик и стандартов, уста новленных подразделениями безопасности.

4.1 Использование CRUD-матриц

Создание и использование матриц отношений «данные — процессы» (data-to-process) и «дан ные — роли» (data-to-role), — так называемых матриц CRUD: от Create (создание), Read (чтение), Update (обновление), Delete (удаление), — помогает отобразить потребности в доступе к данным и определить ролевые группы, параметры и разрешения. Иногда к матрице добавляют пятый па раметр — E (Execute — выполнение) — и называют ее CRUDE-матрицей.

4.2 Немедленное развертывание обновлений безопасности

В организации должен быть организован процесс установки обновлений безопасности на всех компьютерах с максимальной оперативностью. Ведь хакеру-злоумышленнику достаточно полу чить доступ с полномочиями суперпользователя к одному-единственному компьютеру для про ведения успешной атаки на сеть. Пользователи не должны иметь возможности задерживать уста новку обновлений.

4.3 Атрибуты безопасности в метаданных

Репозиторий метаданных — ключевое средство обеспечения целостности и согласованного использования корпоративной модели данных всеми бизнес-процессами организации. Мета данные должны включать классы конфиденциальности данных и категории регламентирую щих норм и правил (см. раздел 1.1.3). Включение в состав метаданных атрибутов, относящихся

к безопасности, защищает организацию от риска раскрытия чувствительных данных сотрудни ками, которые с ними работают, но могут не знать о том, что эти данные имеют определенную степень чувствительности. Назначая данным уровни конфиденциальности и категории регла ментирующих норм и правил, распорядители данных должны следить за тем, чтобы информация о назначении была зарегистрирована в репозитории метаданных. Если позволяет используемая технология, данные должны быть промаркированы с помощью соответствующих меток (см. раз делы 3.3.1 и 3.3.2). Сведения об уровнях конфиденциальности и категориях регламентирующих норм и правил можно использовать для определения и управления наборами пользовательских прав, а также для управления авторизацией. Кроме того, эти сведения нужны для информирова ния команд разработчиков о рисках, связанных с чувствительными данными.

4.4 Метрики

Для подтверждения того, что все процессы обеспечения информационной безопасности функцио нируют согласно установленным требованиям, нужен набор измеримых параметров (метрик), показывающих их эффективность. Метрики также дают возможность совершенствовать эти процессы. Некоторые метрики отражают прогресс в выполнении каких-либо работ: например, количество проведенных аудиторских проверок, установленных систем безопасности, выявлен ных инцидентов или объем непроверенных данных. Более сложные метрики сфокусированы на оценке недостатков, выявленных в ходе аудиторских проверок, или уровня зрелости организации

врамках модели зрелости.

Вкрупных организациях, имеющих службы ИБ, значительное число подобных метрик так или иначе уже введено. Полезно переосмыслить место существующих показателей и рассматри вать их в контексте общего комплекса мероприятий по измерению параметров процесса управ ления угрозами, в частности для того, чтобы избежать дублирования усилий. Определившись с метриками, зафиксируйте для каждой из них исходное значение (базовый уровень — baseline), чтобы затем отслеживать прогресс с течением времени.

Поскольку измерять и отслеживать можно множество условий, требующихся для обеспе чения ИБ, фокусируйте внимание на тех, которые имеют практическое значение. Немногочис ленные ключевые метрики, сгруппированные по отдельным направлениям, значительно проще поддаются пониманию и управлению, чем не связанные друг с другом показатели. Мероприятия по совершенствованию процессов обеспечения ИБ могут включать тренинги, предполагающие информирование о политиках регулирования в отношении данных и о действиях по соблюдению требований ИБ.

Многие организации сталкиваются со схожими проблемами в области безопасности данных. В выборе подходящих метрик может помочь следующий перечень.

4.4.1 Метрики для оценки эффективности внедрения мер безопасности

Следующие общие метрики безопасности представляют собой показатели, исчисляемые в про центах.

Доля компьютеров организации, на которых установлены все самые последние обновления безопасности.

Доля компьютеров, на которых установлены и функционируют самые последние версии ан тивирусного и другого ПО защиты от вредоносных программ.

Доля новых сотрудников, успешно прошедших проверку на благонадежность.

Доля сотрудников, прошедших ежегодное тестирование в области практик ИБ с количеством правильных ответов более 80%.

Доля бизнес-единиц, где проведена формальная оценка рисков в сфере ИБ.

Доля бизнес-процессов, успешно протестированных на предмет аварийного восстановления данных в случае пожара, землетрясения, урагана, наводнения, взрыва или иной чрезвычай ной ситуации.

Доля устраненных недостатков, выявленных в ходе аудиторской проверки.

Для выявления и отслеживания тенденций можно использовать статистические показатели или показатели, выражаемые в виде перечней.

Метрики производительности всех систем ИБ.

Проведенные проверки анкетных данных сотрудников и их результаты.

Статусы планов действий в непредвиденных ситуациях и обеспечения непрерывности бизнеса.

Случаи инцидентов криминального характера и результаты их расследования.

Проверки обеспечения «должной осмотрительности» (Due Diligence) в отношении соблюде ния требований ИБ и количество выявленных нарушений, которые необходимо устранить.

Проведенные мероприятия по аналитическому исследованию вопросов управления рисками (с указанием количества мероприятий, повлекших действенные изменения).

Проверки соблюдения политики ИБ и их результаты (например, проверки соблюдения по литики «чистого стола» (clean desk) при вечерних обходах помещений сотрудниками службы безопасности).

Статистика спецопераций, мероприятий по обеспечению физической безопасности и безо пасности помещений.

Количество задокументированных и доступных для ознакомления действующих стандартов ИБ (они же «политики» — policies).

Мотивированность различных сторон к соблюдению политик безопасности также может быть оценена.

Анализ сложившейся практики ведения бизнеса в контексте репутационных рисков, включая проведение тренингов.

Профилактика нечистоплотности в бизнесе и рисков инсайдерских угроз в отношении ис пользования специфических категорий информации (финансовая, медицинская, относящая ся к коммерческой тайне, инсайдерская и т. п.).

Выберите из перечисленных метрик разумное количество наиболее действенных, относящихся к различным категориям, и осуществляйте их регулярное отслеживание с целью соблюдения су ществующих требований, выявления проблем до их перехода в критическую фазу и демонстра ции вышестоящему руководству четкого стремления обеспечить защиту ценной корпоративной информации.

4.4.2 Метрики для оценки осведомленности сотрудников в области безопасности

Для выбора наиболее подходящих метрик следует рассмотреть следующие общие категории.

Результаты оценки рисков позволяют получить обоснованные и заслуживающие доверия данные, которые необходимо передать руководству и сотрудникам соответствующих биз нес-единиц, с тем чтобы они были лучше осведомлены о своей ответственности.

Рисковые события и профили рисков: выявляйте неконтролируемые области, подвергаемые рискам и требующие принятия мер по защите. С помощью последующих проверок инициа тив в отношении информирования сотрудников определяйте степень (или отсутствие) про движения в части снижения подверженности рискам или соблюдения политики безопасно сти. Это позволяет определить, насколько эффективны мероприятия по информированию.

Формальные обследования или интервью с целью получения откликов позволяют опре

делить общий уровень информирования в области безопасности. Кроме того, следует оцени вать количество сотрудников из состава целевых групп, которые прошли тренинги, направ ленные на информирование в области ИБ.

Расследование инцидентов, учет извлеченных уроков и интервью со сторонами, понес шими ущерб являются хорошим источником информации о пробелах в информировании в области безопасности. Для измерения могут использоваться показатели того, насколько снизилась уязвимость.

Аудиторские проверки эффективности обновлений безопасности проводятся на отдель ных компьютерах, имеющих доступ к конфиденциальным и регламентированным данным. (Рекомендуется использовать систему автоматического обновления на всех компьютерах, где это возможно.)

4.4.3 Метрики для оценки защиты данных

Выберите актуальные для вашей организации показатели, исходя из действующих требований.

Классификация критичности отдельных видов данных и информационных систем, выход из строя которых окажет существенное влияния на деятельность организации.