2. Модель Gartner Group

Gartner Group визначає чотири рівня зрілості компанії – починаючи з нульового та закінчуючи третім.

За даними Gartner Group компанії розподілилися за рівнем зрілості наступним чином: 20% компаній – 0-го рівня, 35% - 1-го рівня, 30% - 2-го рівня і 15% - 3-го рівня.

0-й рівень. Необхідність забезпечення ІБ компанії не з’ясована в повній мірі і формально така задача не ставиться. Окремої служби ІБ не має. Служба автоматизації використовує традиційні механізми та засоби захисту інформації стеку протоколів TCP/IP, а також операційного середовища.

1-й рівень. Проблема забезпечення ІБ розглядається керівництвом компанії як виключно технічна. Окремої служби ІБ не має. Організаційні заходи підтримки ІБ не проводяться. Фінансування здійснюється в рамках єдиного бюджету на ІТ-технології. Служба автоматизації додатково до засобів захисту 0-го рівня може залучати засоби резервного копіювання інформації, джерела безперебійного живлення, файерволи, віртуальні приватні мережі (VPN), та антивірусні засоби засоби.

2-й рівень. Проблема забезпечення ІБ розглядається керівництвом компанії як взаємопов’язаний комплекс організаційних та технічних заходів. Впроваджені методики аналізу інформаційних ризиків, які відповідають мінімальному (базовому) рівню захищеності корпоративної інформаційної системи. В компанії визначені склад та структура штатної служби ІБ. Прийнята корпоративна політика ІБ. Фінансування здійснюється в рамках окремого бюджету на створення та підтримку корпоративної системи захисту інформації. Служба ІБ додатково до засобів захисту інформації 0-го та 1-го рівнів залучає засоби захисту від НСД, системи виявлення вторгнень в мережу (IDS), а також відповідні до політики безпеки компанії організаційні заходи (зовнішній та внутрішній аудит, розробка планів захисту і безперервного ведення бізнесу, дій у позаштатних ситуаціях тощо).

3-й рівень. Проблема забезпечення ІБ сприймається керівництвом компанії в повному обсязі. Активно застосовуються методики повного кількісного аналізу інформаційних ризиків, а також відповідні заходи з інструментального аудиту. Введено штатну посаду – директор служби ІБ. Визначені склад і структура групи внутрішнього аудиту безпеки корпоративної ІС, групи попередження та розслідування комп’ютерних злочинів, групи економічної безпеки. Керівництвом компанії затверджені концепція і політика безпеки, план захисту та інші нормативно-методичні матеріали і посадові інструкції. Фінансування здійснюється виключно в рамках окремого бюджету.

3. Модель Carnegie Mellon University

Дещо більш розширену модель визначення рівня зрілості компанії з боку ІБ запропонував університет Carnegie Mellon. Відповідно до цієї моделі визначаються п’ять рівнів зрілості компанії за розумінням проблем ІБ організації.

На першому рівні питання ІБ, як правило, керівництвом компанії формально не підіймається. Але це не означає, що вона не вирішується співробітниками за власною ініціативою –і, можливо, з долею ефективності.

На другому рівні проблема забезпечення ІБ вирішується неформально, на основі накопиченої практики. Комплекс заходів (організаційних та програмно-технічних) дозволяє захиститися від найбільш вірогідних загроз, як потенційно можливих так і тих, що мали місце раніше. Питання відносно ефективності захисту не підіймається. Таким чином, поступово формується неформальний список актуальних для компанії ризиків, який постійно корегується.

На третьому рівні в організації прийнято дотримуватися в більшому чи меншому ступені стандартам та рекомендаціям, що забезпечують базовий рівень ІБ (наприклад ISO 17799). Питанням документування теж приділяється належна увага.

На четвертому рівні для керівництва компанії є актуальними питання вимірювання параметрів, що характеризують режим ІБ. На цьому рівні керівництво відповідає за вибір величин залишкових ризиків (які залишаються завжди). Ризики. як правило, оцінюються за декількома критеріями (не тільки за вартістю).

Технологія керування режимом ІБ залишається подібною до третього рівня, але на етапі аналізу ризиків застосовують кількісні методи, які дозволяють оцінити параметри залишкових ризиків та ефективність різних варіантів контрзаходів при керуванні ризиками.

На п’ятому рівні ставляться і вирішуються різні варіанти оптимізаційних задач в галузі забезпечення режиму ІБ.

Контрольні запитання

1. Які основні етапи моделі Lifecycle Security?

2. На якому етапі виявляються аномалії та вторгнення у корпоративну інформаційну систему?

3. На якому етапі здійснюється розробка методів реагування у випадку інцидентів?

4. У яких випадках рекомендується проводити аналіз ризиків?

5. Що є ключовими моментами аналізу інформаційних ризиків в корпоративній інформаційній системі?

6. За якими рівнями розподіляються компанії відповідно до моделі Gartner Group?

7. За якими рівнями розподіляються компанії відповідно до моделі Carnegie Mellon University?

8. Який міжнародний стандарт регламентує базовий рівень інформаційної безпеки?

9. У чому зміст технології керування інформаційною безпекою?