Dezvoltarea integrală a conceptului de securitate a informațiilor unei societăți de telecomunicații este o procedură care necesită eforturi considerabile, precum și o finanțare semnificativă.
Următoarele recomandări pentru dezvoltarea conceptului vă permit să optimizați costul creării acestuia. Aceste recomandări prevăd dezvoltarea progresivă a unui concept cu finanțare pe etape a lucrărilor.
Pasul 1. Efectuarea unei decizii, formarea unui grup de lucru. În acest stadiu, managementul companiei trebuie să decidă asupra necesității dezvoltării unui concept de securitate a informațiilor, precum și asupra obiectivelor urmărite de această dezvoltare.
Obiectivele de dezvoltare pot fi următoarele:
- obținerea unui sistem cuprinzător de opinii cu privire la starea securității informațiilor în cadrul companiei;
- reducerea pierderilor cauzate de starea inadecvată a sistemului IS;
- crearea unui nou sistem IS (reconstrucția sistemului existent);
- documentarea unui sistem IS existent;
- câștigând un avantaj competitiv față de companiile care nu au un concept.
După stabilirea obiectivelor de dezvoltare în acest stadiu, se formează un grup de lucru. Următoarele grupuri de lucru ar trebui incluse în grupul de lucru:
- serviciul de securitate al companiei;
- unitatea responsabilă cu protecția informațiilor;
- Departamentul IT;
- funcționarea rețelei de operare;
- servicii de dezvoltare;
- Departamentul de Securitate Economică;
- serviciu tehnic;
- servicii financiare.
Etapa2.Constituie un plan pentru dezvoltarea conceptului. Determinarea sumei de finanțare pentru colectarea datelor de intrare. În acest stadiu se formează un plan calendaristic pentru dezvoltarea conceptului, determinându-se activitățile de dezvoltare și costul implementării lor.
Lista activităților de dezvoltare include:
- colectarea datelor sursă (posibil până la un audit complet al sistemului IS);
- prelucrarea datelor inițiale;
- alegerea conceptului IB
- formarea unui subgrup privind dezvoltarea CIB;
- formarea unui subgrup privind dezvoltarea unui PIB;
- Formarea unui grup privind proiectarea sistemului IS.
Cel mai scump în această etapă este de a colecta date de referință, astfel încât înainte de a merge direct la locul de muncă pe ID-ul de colectare, posibilitatea unităților Companiei trebuie să fie pe deplin utilizate pentru a furniza în mod independent, datele de bază necesare pentru concepție. După stabilirea valorii finanțării pentru colectarea datelor sursă, este necesar să se procedeze la a treia etapă.
Pasul 3. Colectarea datelor. În acest stadiu, prin eforturile grupului de lucru sau prin implicarea subcontractanților, se colectează date inițiale pentru dezvoltarea conceptului. Așa cum am menționat mai sus, în cazul în care sistemul de protecție a informațiilor, insuficiența sa sau fără documente în acest stadiu este învechit, este necesar să se efectueze un audit complet al securității informaționale a companiei. Auditul va oferi o sursă de contribuție pentru dezvoltarea conceptului. Auditul va trebui, de asemenea, să fie efectuat după punerea în aplicare a activităților conceptuale, prin urmare, pentru a reduce costurile, este de dorit să se efectueze un audit preliminar utilizând proceduri simplificate.
Etapa 4. Dezvoltarea KB. Determinarea costului de dezvoltare a PIB. Pe baza datelor inițiale colectate, se realizează elaborarea CIB (partea normativă). Acest document va reflecta deja cerințele de bază pentru sistemul IS și cerințele pentru suportul său de reglementare. Costul dezvoltării unui PIB este determinat de următorii factori:
- completitudinea datelor sursă colectate;
- nivelul de securitate care trebuie furnizat în conformitate cu partea normativă a conceptului;
- cerințele privind tehnologia și sprijinul în materie de reglementare;
- complexitatea structurii rețelei de informații și comunicații a rețelei de comunicații și a sistemului informatic.
Etapa 5. Dezvoltarea PIB și a documentelor normative. În această etapă, se dezvoltă partea tehnică a conceptului - PIB. Cerințele PIB sunt formulate în partea normativă, iar datele inițiale pot fi rafinate odată cu dezvoltarea PIB.
În paralel cu dezvoltarea PIB a avut loc dezvoltarea unor documente, anumite părți de reglementare a conceptului - regulamente, instrucțiuni, etc. Deoarece detalii caracteristicile tehnice CIP ale sistemelor de securitate a informațiilor în această etapă documentele vor fi umplute cu material de beton și a proceselor de afaceri optimizate.
Etapa 6. Dezvoltarea părții economice a conceptului. După elaborarea unui PIB care conține cerințe detaliate pentru mașini, spații, condiții de operare, precum și instrucțiuni și alte documente de reglementare, este posibil să se estimeze costul:
- implementarea CIB;
- deținerea sistemului de securitate a informațiilor;
- alte costuri fixe și variabile în cadrul prevederilor conceptului.
Pe baza metodologiei propuse în această metodologie de cercetare și dezvoltare (sau altă metodologie), este necesar să se calculeze rentabilitatea investiției, dacă este necesar, pentru a se ajusta conceptul.
Etapa 7.Configurarea conceptului (realizat în caz de necesitate de reducere a costului implementării). În acest stadiu, este recomandabil să se distingă două niveluri de securitate - elementare și ridicate.
La nivelul de bază, este necesar să se includă acele măsuri și concepte care sunt minime necesare pentru companie și ale căror avantaje depășesc costurile.
Nivelul crescut include acele activități și cerințe care sunt necesare doar pentru un tip limitat de resurse de informații, iar pentru altele sunt de dorit. În acest caz, este necesar să se asigure comparabilitatea valorii resurselor protejate de cerințele crescute, cu costurile de protecție.
Corectarea se efectuează până când costul sistemului de securitate a informațiilor nu este mai mic decât beneficiile aduse. Trebuie menționat faptul că este necesar să se includă în reducerea pierderilor riscurile de încălcare a regimului de securitate și a riscurilor pe care le generează.
Pasul 8. Confirmarea conceptului și familiarizarea cu angajații companiei. Această etapă reprezintă etapa finală a dezvoltării conceptului. Conceptul ar trebui discutat de organul de conducere colegial al companiei, aprobat și introdus prin ordinul companiei.
Angajații companiei ar trebui să fie familiarizați cu conceptul și documentele elaborate în cadrul său (în competența angajaților).