Ако разгледаме класическия жизнения цикъл на ИТ сигурността съгласно модела PPDIOO (Prepare, Plan, Design, Implementation, Operation, Optimization - фиг. 1), всеки от неговите етапи може да бъде съпътстван от съответните услуги в сферата на информационната сигурност. Не винаги обаче потенциалните потребители на тези услуги са готови да се придържат напълно към жизнения цикъл – често организациите се ограничават с реализацията на услуги за етапите на планиране и дизайн. След се разбере, че реализацията на разработените препоръки изисква инвестиции, те си остават «на хартия». Случва се и обратното – доставчикът на услуги не е готов да осигурява системата за информационна сигурност на всички етапи от нейния жизнен цикъл. Подобни ситуации възникват най-често заради тясната специализация на някои компании (например, само провеждане на тестове или подготовка на документация) или заради недостатъчна експертиза.

Фигура 1: Моделът PPDIOO

Жизнен цикъл на ИТ сигурността

Подготовка - Планиране - Дизайн - Внедряване - Поддръжка - Оптимизация

Източник: Cisco

Етапът на подготовка

От качествената реализация на този етап в голяма степен зависи информационната сигурност в перспектива. Именно на тази фаза трябва да бъдат откроени слабите места на съществуващата система за защита на информацията. Без ясна представа за тях, както и за особеностите на бизнеса, би било много трудно да се планират следващите стъпки, да се работи по внедряването, експлоатацията и оптимизацията на системите и механизмите за защита.

Услугите за този етап могат да се разделят условно в 2 групи – технически и бизнес ориентирани.

Към първата група се отнасят различни одити и оценки на текущото състояние на мрежите и информационните системи от гледна точка на ИТ сигурността. Одитът на мрежата е най-ниското ниво за проверка на защитеността на информационната архитектура. В рамките на тази мярка често се провеждат тестове на възможностите за проникване (penetration tests). Одитът на информационната система е следващо по-високо ниво, на което се проверяват защитните стени, безжичните мрежи, конкретни приложения (ERP, CRM, DRP, SCM и т.н.). Услуги за проверка на защитеността на това ниво се предлагат доста ограничено.

Втората група услуги се отнася до най-високото ниво в корпоративната архитектура – бизнес-процесите. На това ниво не става дума за информационни технологии. Проверяват се съвсем други аспекти – работата на отдела по човешки ресурси, взаимодействието с доставчиците, партньорите и клиентите, сключените от компанията договори за получаване на едни или други услуги. Също така се определят метрики за оценка на ефективността на мероприятията за ИТ сигурност.

Етапът на планиране

След като са изяснени слабите места в защитата на информацията, трябва да се разработи план за тяхното отстраняване. Услугите, свързани с изпълнението на тази задача са най-търсени и най-разпространени. Те включват разработката на различни концепции за ИТ сигурност, планове за действие в извънредни ситуации, планове за осигуряване непрекъснатост на бизнеса, ръководства за реагиране при инциденти, методологии за изграждане на центрове за управление на сигурността (Security Operations Center, SOC), инструкции за потребителите и т.н. Най-важното на този етап е да не се увличате за да не замените ИТ сигурността с нейния «хартиен» макет.

Етапът на дизайн

На този последен етап преди внедряването на конкретни средства за защита, на базата на данните получени в предишните два етапа се проектира защитата на корпоративната мрежа или информационна система.