Управление рисками безопасности и соответствием требованиям к проверкам требует системного подхода, который заключается в том, чтобы именно сеть играла основную роль в организации безопасности, так как она затрагивает все аспекты инфраструктуры IT.

Для управления рисками безопасности, соответствием и требованиями к проверкам современной сети, специализированных решений сейчас недостаточно. Вместо этого комплексно интегрированные, совместимые и адаптируемые решения помогают администраторам сети и безопасности лучше управлять рисками безопасности сети, в то же время обеспечивая соответствие внутренним и внешним требованиям.

Такой подход должен поддерживать требования таких стандартов как CobiT и ISO/IEC 17799, которые помогают организации управлять рисками безопасности сети, при этом обеспечивая соответствие отраслевым нормативным документам.

Задача

Подавляющее большинство современных общественных и частных организаций зависят от автоматизированных бизнес-процессов. Информационные системы и сети, которые их обеспечивают их функционирование, стали стратегически важными корпоративными ресурсами. В результате, администраторы сети и безопасности должны находить новые способы защиты сетей, а также данных и используемых в них приложений от новых атак, которые быстрее, сложнее и опаснее имевших место ранее.

Глобальные компании должны вести свою деятельность в соответствии с требованиями нормативных актов соответствующих стран. Компании сталкиваются со все более ужесточающимися требованиями правовых и нормативных актов в связи с тем, что как государственные органы, так и общественность настойчиво требуют, чтобы компании должным образом использовали и защищали как корпоративную, так и персональную информацию. Эти документы касаются всех сфер – от безопасности до финансовой отчетности, и включают в себя закон Сарбейнса-Оксли, закон Грэма-Лича-Блили, закон HIPAA, нормативные акты Евросоюза по мероприятиям, позволяющим уйти от опасностей (European Union's safe-harbor regulations), и закон штата Калифорния об интерактивной защите конфиденциальности (California's Online Privacy Protection Act).

Так сложилось исторически, что подход к управлению рисками безопасности сети и соответствием требованиям аудита был распределен по подразделениям и отделам организации, что привело к дублированию функциональных обязанностей и технических средств. Эти подходы неизбежно противоречивы, и системы управления частично перекрывают, противоречат или разрушают друг друга. Контроль и отчетность точно так же фрагментированы, и в результате администраторы не знают, насколько успешно они управляют сетевыми рисками, в том числе и возрастающими требованиями к соответствию.

Решение

Лучшим методом управления рисками безопасности и соответствием требованиям является системный, всесторонний подход, основанный на лучших методах предприятий, которые работают в соответствие с требованиями концепции управления корпоративными рисками эмитента (Enterprise Risk Management framework) Комитета спонсорских организаций Комиссии Трэдуэя (Committee of Sponsoring Organizations - COSO) of the Treadway Commission). Отправной точкой должна стать единая, всеобъемлющая и охватывающая всю организацию интегрированная концепция, внутри которой можно согласовать все требования о соответствии и обеспечению безопасности для отдельной сети.

Есть две широко известных и распространенных IT-концепции:

• CobiT: Разработан Институтом управления IT (IT Governance Institute) в США. CobiT - это контрольные цели для технологии обработки информации и смежных технологий (the Control Objectives for Information and Related Technologies).
• ISO/IEC 17799: Разработан Международной организацией по стандартизации (International Standards Organization - ISO) при участии стран мира. Стандарт ISO/IEC 17799 (Кодекс управления информационной безопасностью - Code of Practice for Information Security Management) поддерживается стандартом ISO 27001.

Эти концепции предлагают хорошие начальные позиции и могут использоваться совместно. Они также поддерживают управляющую концепцию IT, что должно помочь управлять рисками, относящимися к IT, и гарантировать требования проверки соответствия безопасности сети, а также и потребностям текущего корпоративного управления и внутренним режимам управления.

Приложения и сетевая инфраструктура, построенные на общей базе, значительно облегчают решение проблем, связанных с проверкой и обеспечением соответствия. Хотя, на первый взгляд, нормативные акты государственных органов имеют мало общего, они совместно используют основные элементы – защиту доступности, конфиденциальность, а также целостность информации где бы то ни было – при хранении, во время передачи или использования.

CobiT и ISO/IEC 17799 позволяют воспользоваться лучшими общепризнанными методами для упрощения и унификации как информационных процессов, так и элементов управления, определяемых в рамках организации.

Различия между CobiT и ISO/IEC 17799 состоят в следующем:

• CobiT изначально использовался сообществом аудиторов IT для того, чтобы демонстрировать механизмы минимизации и предупреждения рисков, разработанные специалистами по технологиям для групп управления организации. А ISO/IEC 17799 является международно признанным стандартом для осуществления управления защитой
• CobiT основное внимание уделяет процессам жизненного цикла информационных систем, а ISO/IEC 17799 - безопасности.
• CobiT предъявляет требования к процессам управления информационной безопасностью, а ISO/IEC 17799 - направлен на объекты управления.

Одним из наиболее заметных преимуществ строгого следования лучшим методам концепций CobiT и ISO/IEC 17799 является сокращение использования человеческих и денежных ресурсов. Соответствуя и соблюдая часто нечеткие требования к безопасности и защите, которые продиктованы нормативными актами органов различной юрисдикции, можно реализовать эти методы таким образом, чтобы быстро и на новом качественном уровне удовлетворять свои организационно-экономические требования.