ݺߣ

ݺߣShare a Scribd company logo
Яким має бути Звіт по роботі ІБ
044 232 63 02
068 558 39 48
Юрій Гудзь
Управляющий ІТ Аудитор
ygudz@yvgconsulting.com.ua
www.yvgconsulting.com.ua
2YVG Consulting Робота ІБ та Звіт
Загальною метою компанії, Власників компанії, співробітників
ІБ, Керівництва ІБ, Керівництва компанії є Інформаційна
Безпека Компанії. Але насправді, в кожній організації у
кожного свої цілі.
3YVG Consulting Робота ІБ та Звіт
Аби компанія була убезпечена з точки зору Інформаційної
Безпеки реально можуть бути зацікавлені тільки
ВласникиАкціонери компанії.
4YVG Consulting Робота ІБ та Звіт
ТОП-Менеджмент компанії зацікавлений у виконанні KPI, які
виставляють їм Власники, тому вони зацікавлені в ІБ рівно
настільки, наскільки вимагають від них Акціонери. В
реальності окремі KPI зазвичай ніхто відносно ІБ не ставить,
тому залишається один єдиний KPI який звучить як «аби нічого
не сталось відносно безпеки інформації та ІТ систем».
В цілому Очікування Керівництва від ІБ можна сформулювати
так:
1. Аби не було проблем
2. Якщо є проблема, знайти винуватого
3. Контролювати ІТ
4. Моніторити співробітників, хто чим займається
5. Озвучувати ризики, які соромляться озвучувати ІТ
5YVG Consulting Робота ІБ та Звіт
ІТ зазвичай в цілому не турбує інформаційна безпека компанії,
їх турбує ефективність роботи ІТ систем, а відхилення в
сторону безпечності роботи зазвичай знижує ефективність
роботи систем та процесів. Але навіть якщо у ІТ відсутні
поставлені KPI з боку Керівництва відносно ІБ, все одно
залишається один KPI який існує незалежно від його фактичної
наявності в Company Balanced Scorecard – «аби чого не
сталось». Якщо є інциденти ІБ (як стосовно інформації так і
стосовно ІТ систем), то це косяки ІТ, і Керівництво їх за це
зазвичай по головці не погладить. І якщо інцидентів забагато
– то це прямий шлях до зміни штату ІТ, тому мотивація у ІТ
має бути, але вона має постійно підвищуватись з боку
Керівництва, бо має тенденцію з-за слабкої уваги з боку
Керівництва поступово згасати.
6YVG Consulting Робота ІБ та Звіт
Співробітники ІБ звісно зацікавлені в Інформаційній Безпеці
компанії, бо це безпосередня їхня робота та зона
відповідальності, але вони також зацікавлені в своїх робочих
місцях, отримуванні зарплати, бо вони є найманими
працівниками і матеріальна сторона роботи безпосередньо
пов’язана з Інформаційною Безпекою Компанії. Будуть
проблеми з безпекою – будуть працювати інші співробітники у
Відділі ІБ. Тут з мотивацією все зрозуміло.
7YVG Consulting Робота ІБ та Звіт
З інструментом для виконання роботи ІБ в компанії також
визначитись просто – це міжнародний стандарт з
інформаційної безпеки ISO 27001.
8YVG Consulting Робота ІБ та Звіт
Як і будь-який складний інструмент ISO 27001 зрозумілий
виконавцям, але людям не в темі важко його зрозуміти і
адекватно оцінити його використання. Тому існує великий
розрив між щоденною роботою Відділу ІБ і результатами
роботи Керівництвом.
Є багато статей та книжок щодо підходів в оцінці
ефективності роботи Служб ІБ, але я пропоную простий
підхід, який буде працювати в реаліях українського бізнесу –
Звіт Керівництву.
9YVG Consulting Робота ІБ та Звіт
Відділ ІБ має проводити роботу по всім напрямкам, які
визначені в ISO 27001, але якщо ми спробуємо поставити
відповідність між Очікуваннями Керівництва та Структурою ISO
27001 то побачимо, що відповідності є нерівними.
Очікування ISO 27001
Аби не було проблем • Весь ISO 27001
Якщо є проблема, знайти винуватого • Управління активами
• Управління доступом
• Управління інцидентами ІБ
• Питання ІБ щодо персоналу
Контролювати ІТ • Політики ІБ
• Прийом, розробка і підтримка систем
• Відповідність
Моніторити співробітників • Відповідність
Озвучувати ризики • Відповідність
• Безперервність бізнесу
• Управління інцидентами ІБ
10YVG Consulting Робота ІБ та Звіт
Отже ми маємо подати інформацію в звіті, яка цікава
Керівництву, але й показати всю роботу, яку ми виконуємо.
Формат Звіту Керівництву потрібно визначати в залежності від
прийнятих в компанії підходів. Якщо всі подають свої звіти
ТОП Менеджменту у вигляді Службових Записок, варто
дотриматись такого ж підходу. Якщо Керівництво більш
схильне до прийняття інформації у вигляді Презентацій
Powerpoint – варто дотриматись цього формату.
Формат подачі дуже важливий, так як якщо ви подасте
інформацію у незручному чи незвичному форматі Отримувачу,
інформація може бути сприйнята невірно, або навіть
несприйнята взагалі, і вся ваша робота за місяць (або й рік) не
буде оцінена достойно.
11YVG Consulting Робота ІБ та Звіт
З форматом визначились, переходимо до структури. На
початку подаємо ту інформацію, яка релевантна відповідно до
Очікувань Керівництва.
Очікування Інформація
Аби не було проблем • Кількість оброблених заявок Сервіс-деска
• Кількість інцидентів
• Кількість проведених розслідувань
• Перелік виконаних проектівзадач за поточний місяць
Якщо є проблема,
знайти винуватого
Контролювати ІТ • Кількість Заявок поданих Відділом ІБ для впорядкування
відхилень в ІТ системахпроцесах
• Кількість оброблених ТЗ
• Кількість проаналізованих договорів з підрядниками
відносно ІТ
• Кількість проведених Аудитів ІТ систем чи ІТ процесів
Моніторити
співробітників
• Кількісні результати роботи системи моніторингуSOC
• Виконані задачі відносно системи моніторингуSOC
Озвучувати ризики • Кількість проведених оглядів приміщень
• Результати проведених Аудитів
• Результати аналізу договорів з підрядниками
• Результати аналізу ТЗ
12YVG Consulting Робота ІБ та Звіт
Після основної інформації, яка найбільше цікава Керівництву варто
описати і іншу роботу, яку виконує Відділ ІБ. Це може бути:
1. Результати роботи з Інформаційними активами
2. Кількість змінених внутрішніх документів
(ПолітикСтандартівІнструкцій)
3. Кількість проведених презентаційнавчань для співробітників
стосовно ІБ
4. Результати роботи Антивірусу
5. Результати роботи Анти-DDOS системи
6. Результати роботи Анти-СПАМ фільтру
7. Результати роботи сканеру по виявленню вразливостей всередині
мережі
8. Результати роботи сканеру по виявленню вразливостей
зовшнішніх серверів
9. Перелік поточних проектівзадач, в яких приймають участь
співробітники Відділу ІБ.
13YVG Consulting Робота ІБ та Звіт
Ми подали тільки основні ідеї щодо структури Звіту, який може
готувати Відділ ІБ по результатам своєї роботи. Звісно, різні
організації знаходяться на різних етапах розвитку, у різних компаній
звіти будуть різнитись. На додачу до описаної інформації можна
додавати у звіт Графіки, Таблиці, порівняльну аналітику з минулим
періодом, аналітикою стану ІБ відносно того ж періоду минулого
року і т.п. Головне, аби тяжка та кропітка робота ІБ не залишалась не
поміченою та неоціненою Керівництвом.

More Related Content

YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва

  • 1. Яким має бути Звіт по роботі ІБ 044 232 63 02 068 558 39 48 Юрій Гудзь Управляющий ІТ Аудитор ygudz@yvgconsulting.com.ua www.yvgconsulting.com.ua
  • 2. 2YVG Consulting Робота ІБ та Звіт Загальною метою компанії, Власників компанії, співробітників ІБ, Керівництва ІБ, Керівництва компанії є Інформаційна Безпека Компанії. Але насправді, в кожній організації у кожного свої цілі.
  • 3. 3YVG Consulting Робота ІБ та Звіт Аби компанія була убезпечена з точки зору Інформаційної Безпеки реально можуть бути зацікавлені тільки ВласникиАкціонери компанії.
  • 4. 4YVG Consulting Робота ІБ та Звіт ТОП-Менеджмент компанії зацікавлений у виконанні KPI, які виставляють їм Власники, тому вони зацікавлені в ІБ рівно настільки, наскільки вимагають від них Акціонери. В реальності окремі KPI зазвичай ніхто відносно ІБ не ставить, тому залишається один єдиний KPI який звучить як «аби нічого не сталось відносно безпеки інформації та ІТ систем». В цілому Очікування Керівництва від ІБ можна сформулювати так: 1. Аби не було проблем 2. Якщо є проблема, знайти винуватого 3. Контролювати ІТ 4. Моніторити співробітників, хто чим займається 5. Озвучувати ризики, які соромляться озвучувати ІТ
  • 5. 5YVG Consulting Робота ІБ та Звіт ІТ зазвичай в цілому не турбує інформаційна безпека компанії, їх турбує ефективність роботи ІТ систем, а відхилення в сторону безпечності роботи зазвичай знижує ефективність роботи систем та процесів. Але навіть якщо у ІТ відсутні поставлені KPI з боку Керівництва відносно ІБ, все одно залишається один KPI який існує незалежно від його фактичної наявності в Company Balanced Scorecard – «аби чого не сталось». Якщо є інциденти ІБ (як стосовно інформації так і стосовно ІТ систем), то це косяки ІТ, і Керівництво їх за це зазвичай по головці не погладить. І якщо інцидентів забагато – то це прямий шлях до зміни штату ІТ, тому мотивація у ІТ має бути, але вона має постійно підвищуватись з боку Керівництва, бо має тенденцію з-за слабкої уваги з боку Керівництва поступово згасати.
  • 6. 6YVG Consulting Робота ІБ та Звіт Співробітники ІБ звісно зацікавлені в Інформаційній Безпеці компанії, бо це безпосередня їхня робота та зона відповідальності, але вони також зацікавлені в своїх робочих місцях, отримуванні зарплати, бо вони є найманими працівниками і матеріальна сторона роботи безпосередньо пов’язана з Інформаційною Безпекою Компанії. Будуть проблеми з безпекою – будуть працювати інші співробітники у Відділі ІБ. Тут з мотивацією все зрозуміло.
  • 7. 7YVG Consulting Робота ІБ та Звіт З інструментом для виконання роботи ІБ в компанії також визначитись просто – це міжнародний стандарт з інформаційної безпеки ISO 27001.
  • 8. 8YVG Consulting Робота ІБ та Звіт Як і будь-який складний інструмент ISO 27001 зрозумілий виконавцям, але людям не в темі важко його зрозуміти і адекватно оцінити його використання. Тому існує великий розрив між щоденною роботою Відділу ІБ і результатами роботи Керівництвом. Є багато статей та книжок щодо підходів в оцінці ефективності роботи Служб ІБ, але я пропоную простий підхід, який буде працювати в реаліях українського бізнесу – Звіт Керівництву.
  • 9. 9YVG Consulting Робота ІБ та Звіт Відділ ІБ має проводити роботу по всім напрямкам, які визначені в ISO 27001, але якщо ми спробуємо поставити відповідність між Очікуваннями Керівництва та Структурою ISO 27001 то побачимо, що відповідності є нерівними. Очікування ISO 27001 Аби не було проблем • Весь ISO 27001 Якщо є проблема, знайти винуватого • Управління активами • Управління доступом • Управління інцидентами ІБ • Питання ІБ щодо персоналу Контролювати ІТ • Політики ІБ • Прийом, розробка і підтримка систем • Відповідність Моніторити співробітників • Відповідність Озвучувати ризики • Відповідність • Безперервність бізнесу • Управління інцидентами ІБ
  • 10. 10YVG Consulting Робота ІБ та Звіт Отже ми маємо подати інформацію в звіті, яка цікава Керівництву, але й показати всю роботу, яку ми виконуємо. Формат Звіту Керівництву потрібно визначати в залежності від прийнятих в компанії підходів. Якщо всі подають свої звіти ТОП Менеджменту у вигляді Службових Записок, варто дотриматись такого ж підходу. Якщо Керівництво більш схильне до прийняття інформації у вигляді Презентацій Powerpoint – варто дотриматись цього формату. Формат подачі дуже важливий, так як якщо ви подасте інформацію у незручному чи незвичному форматі Отримувачу, інформація може бути сприйнята невірно, або навіть несприйнята взагалі, і вся ваша робота за місяць (або й рік) не буде оцінена достойно.
  • 11. 11YVG Consulting Робота ІБ та Звіт З форматом визначились, переходимо до структури. На початку подаємо ту інформацію, яка релевантна відповідно до Очікувань Керівництва. Очікування Інформація Аби не було проблем • Кількість оброблених заявок Сервіс-деска • Кількість інцидентів • Кількість проведених розслідувань • Перелік виконаних проектівзадач за поточний місяць Якщо є проблема, знайти винуватого Контролювати ІТ • Кількість Заявок поданих Відділом ІБ для впорядкування відхилень в ІТ системахпроцесах • Кількість оброблених ТЗ • Кількість проаналізованих договорів з підрядниками відносно ІТ • Кількість проведених Аудитів ІТ систем чи ІТ процесів Моніторити співробітників • Кількісні результати роботи системи моніторингуSOC • Виконані задачі відносно системи моніторингуSOC Озвучувати ризики • Кількість проведених оглядів приміщень • Результати проведених Аудитів • Результати аналізу договорів з підрядниками • Результати аналізу ТЗ
  • 12. 12YVG Consulting Робота ІБ та Звіт Після основної інформації, яка найбільше цікава Керівництву варто описати і іншу роботу, яку виконує Відділ ІБ. Це може бути: 1. Результати роботи з Інформаційними активами 2. Кількість змінених внутрішніх документів (ПолітикСтандартівІнструкцій) 3. Кількість проведених презентаційнавчань для співробітників стосовно ІБ 4. Результати роботи Антивірусу 5. Результати роботи Анти-DDOS системи 6. Результати роботи Анти-СПАМ фільтру 7. Результати роботи сканеру по виявленню вразливостей всередині мережі 8. Результати роботи сканеру по виявленню вразливостей зовшнішніх серверів 9. Перелік поточних проектівзадач, в яких приймають участь співробітники Відділу ІБ.
  • 13. 13YVG Consulting Робота ІБ та Звіт Ми подали тільки основні ідеї щодо структури Звіту, який може готувати Відділ ІБ по результатам своєї роботи. Звісно, різні організації знаходяться на різних етапах розвитку, у різних компаній звіти будуть різнитись. На додачу до описаної інформації можна додавати у звіт Графіки, Таблиці, порівняльну аналітику з минулим періодом, аналітикою стану ІБ відносно того ж періоду минулого року і т.п. Головне, аби тяжка та кропітка робота ІБ не залишалась не поміченою та неоціненою Керівництвом.