Разработка системы менеджмента информационной безопасности рекламного холдинга

О компании

Рекламный холдинг – лидирующий российский медиаселлер. На национальном и региональном уровнях холдинг обслуживает крупнейшие российские телеканалы с совокупной долей аудитории 57%, привлекая на них более 60% всех ТВ-рекламных бюджетов в России. Доля проходящих через холдинг бюджетов рекламодателей, включая продажи рекламы в других технологических сегментах – таких, как Интернет, радио, пресса, индор, достигает почти 25% совокупного отечественного рынка рекламных контактов.

Сущность бизнеса холдинга – обеспечение эффективного взаимодействия рекламодателей и рекламоносителей, оптимизация продажи рекламных контактов, т.е. максимально эффективное распределение всех имеющихся у Клиента холдинга возможностей контакта с аудиторией («нарезка» аудиторий, определение рыночной цены в зависимости от баланса спроса и предложения, поиск покупателя для всех типов контактов и осуществление продаж).

Для предоставления Услуг в холдинге используется специфический инструментарий собственной разработки, охватывающий всю цепочку бизнес-процессов оказания Услуги холдинга, характеризующийся крайне высоким уровнем использования ИТ-систем. Холдинг проводит значительные инвестиции в разработку новых и совершенствование имеющихся инструментов оказания услуг, научно-исследовательские работы, с целью достижения стратегических целей Компании. Бизнес-процессы холдинга поддерживаются большим количеством разнородных ИТ-систем, имеющих собственные механизмы обеспечения информационной безопасности (далее – ИБ). В настоящее время в холдинге происходит внутренняя реорганизация и изменение бизнес-процессов, связанное с изменением законодательства РФ.

Цель создания СМИБ

Защита субъектов информационных отношений от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования информационных сервисов холдинга, информационные отношения субъектов или несанкционированного доступа к циркулирующей в них информации и ее незаконного использования.

Задачи

1. Обеспечение доступности информационных отношений (устойчивого функционирования информационных систем холдинга, при котором субъекты ИБ имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время).
2. Обеспечение конфиденциальности определенной части информации, хранимой, обрабатываемой в информационных системах и передаваемой по каналам связи в рамках информационных отношений субъектов.
3. Обеспечение целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в информационноых системах холдинга и передаваемой по каналам связи.

Планируемые результаты создания СМИБ

1. Создание эффективного механизма менеджмента ИБ, согласованного со стратегической целью холдинга (создание системы с "низким трением" при оказании информационных услуг), т.е. эффективной системы менеджмента, максимально прозрачной для субъектов и при этом позволяющей эффективно контролировать аспекты ИБ оказания Услуг холдинга и при этом способной адаптироваться к изменениям условий ведения бизнеса.
2. Согласование СМИБ с действующими механизмами управления в Компании (стратегический и оперативный менеджмент, управление проектами, управление разработкой программного обеспечения (далее – ПО)).
3. Создание эффективных исполнительных механизмов СМИБ.
4. Документирование политики ИБ, согласно требованиям стандарта ISO:27001

Описание постановки задачи и особенностей ее реализации в данном проекте

• Выделение Службы Информационной Безопасности (далее СИБ) в отдельную организационную структуру с задачей выстраивания "прозрачных" для бизнеса отношений между внуренними заказчиками.
• Признание бизнесом "де факто" ведущей роли ИТ в организации бизнеса холдинга.
• ПО обеспечения основных операционных информационных сервисов собственной разработки (силами собственных разработчиков с 1996 г.). Сложная система выдачи прав и привилегий, унаследовавшая все ограничения разработки платформы 1996 г. и непрерывных модификаций и доработок.
• Большое количество субъектов информационных отношений, сильно различающихся по объемам обязательств холдинга, возникающих в процессе оказания услуг.
• Сильная кастомизация ИТ сервисов под нужды каждого конкретного субъекта (как продолжение политики "низкого трения").
• Постоянная модификация основных операционных информационных сервисов и НИР (реализация стратегической цели лидерства по инновациям и стремления стать "законодателем мод" в реламном бизнесе). В связи с привлечением сторонних разработчиков требуется четкая координация исполнения политики ИБ, начиная с процесса инициации проектов.
• Отсутствие документированных регламентов ИБ.

Основные решения

1. Для обеспечения доступности информационных отношений:
   • Разделение ответственности между подразделениями за эксплуатацию и техническую поддержку (далее – ТП) защищаемых активов, создание регламентов взаимодействия подразделений для выполнения задач обеспечения ИБ.
   • Создание и ввод в действие регламентов ИБ для внутренних заказчиков.
   • Создание матрицы бизнес-сервисов, использования оборудования и влияния отказов элементов инфраструктуры на бизнес-сервисы.
   • Создание плана обеспечения непрерывности бизнеса (contingency plan).
   • Обеспечение требуемого уровня готовности ИС (обеспечение непрерывности предоставления услуг холдинга).
   • Создание и ввод в действие регламентов ИБ для подключения заказчиков и клиентов холдинга к единому программному пространству Компании.
2. Для обеспечения конфиденциальности информации:
   • Разработка методики управления рисками.
   • Классификация защищаемых активов.
   • Классификация рисков.
   • Аудит имеющихся механизмов защиты активов.
   • Внедрение недостающих механизмов защиты.
3. Для обеспечения целостности и аутентичности информации:
   • Определение границ применимости политики ИБ холдинга.
   • Разработка системы показателей ИБ, их измерения и контроля.
   • Создание эффективных исполнительных механизмов управления ИБ.

Планируемые результаты реализации на предприятии

1) Согласованый Глоссарий и информационная модель холдинга
2) Утвержденная руководством "Методика управления рисками ИБ".
3) Утверждение "Методики инвентаризации и классификации активов".
4) Инвентаризация активов согласно "Методике".
5) Создание стандартов и регламентов ИБ (приоритет – по результатам инвентаризации активов).
6) Создание подразделения в рамках СИБ, контролирующего аспекты ИБ процессов управления проектами разработок новых и модернизации имеющихся информационных сервисов.
7) Создание подразделения в рамках СИБ, контролирующего соблюдение политики и регламентов ИБ в повседневной деятельности холдинга.

Исполнение на 24.02.2011 г.

1) Выполнен проект – Согласованый Глоссарий и информационная модель холдинга.
2) Выполнены проекты документации, согласованной с требованиями ISO:27001: "Политика СМИБ", "Границы применения СМИБ", "Методика инвентаризации и классификации активов", "Методика управления рисками ИБ", "План реагирования на риски", "Положение о применимости контролей", "Процедуры обеспечения безопасности компьютерной сети", "Управление документацией и данными".
3) Создано специальное подразделение в рамках ИБ (начат набор персонала) – Инвентаризация активов согласно "Методике".
4) Создано специальное подразделение в рамках ИБ (начат набор персонала) – Создание стандартов и регламентов ИБ (приоритет – по результатам инвентаризации активов).
5) Создано, начат набор персонала – Создание подразделения в рамках СИБ, контролирующего контролирующего аспекты ИБ процессов управления проектами разработок новых и модернизации имеющихся информационных сервисов.
6) Создано, начат набор персонала – Создание подразделения в рамках СИБ, контролирующего соблюдение политики и регламентов ИБ в повседневной деятельности холдинга.

Copyright © 2011 Соболев Е.А.