Trzy makroprocesy zarządzania bezpieczeństwem informacji

W ramach ponad trzydziestu procesów jakie składają się na „Wielowarstwowy model zarządzania bezpieczeństwa informacji” można wyróżnić ich trzy podstawowe rodzaje - makroprocesy. Najłatwiej jest je przedstawić poprzez analogię do czasu pokoju, czasu rozwoju i czasu wojny. Zostały one wyróżnione na przedstawionym obok ogólnym schemacie modelu.

Czas pokoju określam jako zaznaczony na zielono makroproces „Eksploatacja SZBI”. Jest to czas ciężkiej, ale powtarzalnej pracy przebiegającej w „normalnych reżimach” jeżeli chodzi o presję i pracochłonność. Przebiegać ona powinna zgodnie ze sprawdzonymi procedurami operacyjnymi, unikając szczególnie stresujących momentów – przynajmniej jeżeli chodzi o aspekty związane z zabezpieczaniem przetwarzanych informacji. Główny nacisk powinien być w ramach tego procesu nakładany na powtarzalność dobrze przygotowanych procedur i weryfikowanie czy są one skuteczne, czyli czy osiągamy zdefiniowane cele. De facto na tym polega zapewnianie bezpieczeństwa. Jednym z istotnych elementów eksploatacji jest monitorowanie, czy praca przebiega tak, jak było to założone. Mogą się jednak pojawić pewne anomalie, na które trzeba będzie zareagować. Może okazać się, że trzeba zmodyfikować SZBI (technicznie bądź proceduralnie) by dopasować się do zmian otoczenia wewnętrznego lub zewnętrznego. Może okazać się, że trzeba zaktualizować już posiadane rozwiązania – zmodyfikować ich konfigurację (znów z technicznego bądź proceduralnego punktu widzenia). Można wreszcie zidentyfikować incydenty bezpieczeństwa, na które trzeba będzie odpowiednio zareagować. Są to odpowiedniki znanych m.in. z ITIL „change request”, „service requst” oraz „incident request”.

Aby „Eksploatacja SZBI" przebiegała zgodnie z pokładanymi nadziejami trzeba ją odpowiednio przygotować i stale doskonalić. Dzieje się to w ramach przedstawionego na niebiesko makroprocesu „Doskonalenia SZBI”. Jest to czas rozwoju, który wymaga czasu na zadumę, wyobraźni. Ciężko tego wymagać gdy ktoś od rana do wieczora „wozi taczki”. W ramach tego procesu identyfikuje oraz analizuje się ryzyko, które powinno stanowić podstawę dla dalszych zmian.

Jeszcze inny charakter powinna mieć praca w sytuacji wykrycia (bądź podejrzenia) incydentu. Zaznaczony czerwonym kolorem makroproces „Reagowania na incydenty bezpieczeństwa informacji”, tak jak czas wojny, wymaga pełnej mobilizacji, poświęcenia, kreatywności i podejmowania szybkich decyzji. Celem jest powstrzymanie eskalacji incydentu oraz ograniczenie strat. Zdecydowanie na dalszy plan schodzą inne wykonywane czynności. „Doskonalenie SZBI” może wówczas zostać praktycznie wstrzymane, procesy „Eksploatacji SZBI” często się ogranicza – najlepsi pracownicy siadają do analiz, ograniczania, sprzątania czy odtwarzania infrastruktury. Po zakończeniu prac należy jednak wyciągnąć wnioski dot. obsługi incydentu – zarówno biorąc pod uwagę jego przyczyny jak też i sposób reakcji.

A teraz zastanówmy się jak to wszystko ma wykonać często jednoosobowa komórka bezpieczeństwa :-)

A więcej o model będziecie mogli posłuchać w sobotę podczas What the Hack. ZAPRASZAM!