logo

ТЕСТИРОВАНИЕ ЗАЩИЩЕННОСТИ
           ПО МЕТОДИКАМ OWASP, OSSTMM

Обеспеченность условиями для внедрения процесса управления ИБ

Зрелость процесса «Непрерывность безопасности бизнеса» организации будет состоять из оценки двух направлений.

  • Первое направление демонстрирует зрелость обеспеченности условиями для внедрения процесса непрерывности безопасности бизнеса.
  • Второе направление демонстрирует зрелость реализации подпроцессов.
     

Важно понимать, что даже если в организации уже функционируют ряд подпроцессов по обеспечению непрерывности бизнеса, но в то же время нет условий, необходимых для базового процесса (ресурсного обеспечения), то полноценное управление непрерывностью бизнеса невозможно. Мало того, нет никаких гарантий, что подпроцессы безопасности бизнеса будут достигать тех целей, для которых они развернуты в постоянно меняющихся условиях.


Предлагаем вам пройти небольшой тест (максимально 20 вопросов) для определения степени зрелости Вашего бизнеса, а также обеспеченности условиями для внедрения процесса непрерывности безопасности бизнеса, т.е. ресурсного обеспечения этого процесса.

Начать тест

Обеспеченность условиями для внедрения процесса управления ИБ

Вопрос № 0

Стратегия бизнеса

Существует ли в организации стратегия бизнеса?

Существует ли стратегия безопасности бизнеса в организации?

Как согласно стратегии безопасности организации определяется в ней роль ИБ?

Учитывает ли стратегия бизнеса необходимость управлять непрерывностью бизнеса?

Выделение ресурсов на ИБ

Выделяются на решение вопросов ИБ ресурсы?

Регулярно ли выделяются ресурсы на ИБ или они выделяются хаотично время от времени?

Связанно ли выделения ресурсов на ИБ со стратегией безопасности?

Формируется ли для нужд ИБ отдельный бюджет, или такой расходы на ИБ включены в бюджет ИТ (или др. подразделений)?

Учет инцидентов

Ведется ли в организации учет инцидентов ИБ?

Существует ли системы учета инцидентов ИБ, или фиксация инцидентов существует на регулярной основе?

Осуществляется ли анализ влияния зафиксированных инцидентов ИБ на развертывание или корректировку контрмер?

Существует ли механизм обратной связи, который может изменить весь процесс управления безопасностью (т.е. существует ли запрос на эскалацию)?

Распределение ролей и ответственности за ИБ

Назначается ли в организации ответственное лицо за ИБ?

Вопросы ИБ решаются специальным подразделением ИБ или рабочей группой из сотрудников разных подразделений?

Существует ли распределение ответственности за направления ИБ внутри подразделения или рабочей группы?

Привлекаются для консультаций внешние специалисты по ИБ/аудиторы/тестировщики

Учет стандартов безопасности

Существует ли в организации практика изучения стандартов ИБ и учет их в текущей деятельности?

Как используется рекомендации и выполняются ли требования стандартов ИБ?

Какие стандарты ИБ используются организаций, только общего характера или еще и отраслевые?

Проходят ли в организации процедуры аттестации на соответствие требованиям стандартов?

Уровень 1 Уровень 2 Уровень 3 Уровень 4 Уровень 5
Стратегия бизнеса Стратегия отсутствует или ее нет в виде документа. Стратегия есть, но не считается необходимым разрабатывать стратегию безопасности бизнеса. Стратегия бизнеса определяет ИБ как центр затрат. Стратегия бизнеса определяет ИБ как одну из функциональных стратегий. Стратегия бизнеса учитывает необходимость управлять и совершенствовать непрерывность бизнеса.
Выделение ресурсов на ИБ Выделять какие-либо ресурсы не признается необходимым. Ресурсы выделяются хаотично, на основе информации, получаемой владельцем бизнеса. Ресурсы на ИБ выделяются только на поддержание функционирующих систем ИБ. Бюджет на ИБ отдельно не формируется, а входит в состав бюджета ИТ. Ресурсы на ИБ выделяются в соответствии со стратегией ИБ, но не на регулярной основе. Бюджет на ИБ отдельно не формируется, а входит в состав бюджета ИТ. Ресурсы на ИБ выделяются на регулярной ежегодной основе, в соответствии со стратегией бизнеса. Бюджет на ИБ формируется отдельно.
Учет инцидентов Вести учет инцидентов ИБ не признается необходимым. Фиксирование инцидентов ИБ существует на нерегулярной основе, инциденты не влияют на изменение процесса управления непрерывностью бизнеса. Учет инцидентов ИБ ведется в созданной БД, влияние на изменение процесса управления непрерывностью бизнеса инциденты не оказывают. Учет инцидентов ИБ существует в БД, как основа для выработки контрмер. Учет инцидентов ведется. Если зафиксированный инцидент ИБ не был отражен развернутыми контрмерами, то он запускает механизм обратной связи, который может изменить весь процесс управления непрерывностью бизнеса.
Распределение ролей и ответственности за ИБ Отсутствует. За ИБ ответственно одно лицо, на которое возложена ответственность за все вопросы по обеспечению непрерывности бизнеса. Выделенного подразделения ИБ нет, но есть рабочая группа, положение о которой задокументировано. В составе рабочей группы есть ответственные лица и распределены роли в области ИБ. Есть выделенное подразделение по ИБ. Есть ответственные лица и распределены роли в области ИБ. Сформировано выделенное подразделение по ИБ или рабочая группа, положение о которой задокументировано, в ней участвуют выделенные специалисты со специализацией по требуемым направлениям ИБ.
Учет стандартов безопасности Отсутствует. Стандарты в области ИБ изучаются частично (не в полной мере), применяются только основополагающие (ISO 27001). Аттестация на соответствие требованиям стандартов не проводится. Изучаются и применяются только основополагающие стандарты в области ИБ (ISO 27001) или только отраслевые (например, СТО БР ИББС). Аттестация на соответствие требованиям стандартов не проводится. Применяются не только основополагающие или отраслевые, но и другие стандарты в области ИБ (например, ISO 27002, ISO 27005). Аттестация на соответствие требованиям стандартов проводится нерегулярно. Применяются не только основополагающие или отраслевые, но и другие стандарты в области ИБ (например, ISO 27002, ISO 27005). Аттестация на соответствие требованиям стандартов проводится регулярно.

Рекомендации по развитию (выравниванию) характеристик зрелости в области ИБ

Номер этапа Метрики, которые следует развить



Яндекс.Метрика