Управление информационной безопасностью предприятий (часть 1)
Данный обзор в первую очередь предназначен для специалистов тех компаний, в которых информационная безопасность, как разносторонний и непрерывный процесс, находится на этапе зарождения.
Илья Сачков,
менеджер по информационной безопасности ОАО «АРКТЕЛ»
Введение
Данный обзор в первую очередь предназначен для специалистов тех компаний, в которых информационная безопасность, как разносторонний и непрерывный процесс, находится на этапе зарождения. Такая ситуация может проявляться в компаниях, которых так внезапно коснулся закон «О персональных данных», согласно которому они могут быть привлечены к ответственности за разглашение/утерю/утечку данных клиентов и сотрудников. В тех компаниях, где произошел серьезный инцидент в области информационной безопасности, который повлиял на бизнес и, как следствие на сознание руководства. Или же самое маловероятное событие – это когда топ-менеджмент компании самостоятельно приходит к выводу, что информационная безопасность, не лишнее бремя, а надежная опора для бизнеса.
Аудит, как первый шаг
В любом случае первым шагом должен стать аудит текущего состояния ИТ - инфраструктуры и информационной безопасности компании. Нельзя бездумно пропускать аудит и также бездумно начинать разработку политики информационной безопасности и внедрение систем защиты. Аудит так же не сделает невозможного, аудит может сделать только две вещи – понять, что компания имеет сейчас, какие риски ей угрожают и понять к чему она должна придти. Я думаю, что не стоит упоминать о том, что риски должны быть реальными и информационная безопасность, не должна стать тем якорем, который зацепился за подводные скалы и мешает бизнесу плыть к цели.
Сейчас появляется модная тенденция проводить аудит силами сторонних компаний. Такие компании обещают за короткий срок провести качественную проверку систем безопасности, указать конкретные уязвимости и составить план работ на будущее. Я хочу сказать, что это утопия полагаться, что за одну – три недели, люди, которые не представляют особенности конкретной корпорации, люди, которые видят любой аудит сквозь призму методологии обычного ИТ проекта, не могут провести аудит достойно. Давно уже пора понять, что проекты (в том числе аудиторские) в области информационной безопасности – это не стандартные проекты PM, они лишь отдаленно похожи на собратьев по ИТ. Информационная безопасность включает в себя психологию, социологию, этические аспекты. Я не думаю, что можно позволить аудиторам давать доступ и даже упоминать о серверах, на которых хранится информация, утечка которой грозит компании финансовым ударов или ударом по престижу. Естественно, что все документы, которые аудиторы составят в ходе работы, останутся в к омпании. Но, то что осталось в их памяти, уйдет из вашего вида навсегда. Мир ИТ в России очень тесен и фраза оброненная аудитором где-нибудь в кафе, потом может обернуться серьезными проблемами.
Считается, что основным преимуществом аудиторов является то, что их работа является независимой, что они не будут скрывать недоработки службы безопасности. Вдобавок ко всему аудиторы являются более грамотными специалистами в области ИБ. Взглянем на это с другой стороны. Во-первых, если ваша служба безопасности, ваши технические специалисты скрывают какие-то недоработки, то возникает вопрос в компетентности этих людей и в верности их идеям компании. Зачем оплачивать сотрудников, которые что-то скрывают, которые боятся, что результат их работы станет известен топ-менеджменту? Теперь поговорим об опыте и о знаниях. Я уверен, что сотрудник, который работает в компании продолжительное время, обладает знаниями о внутренней инфраструктуре, об особенностях и проблемах компаниями. И эти знания аудитор не получит за одну неделю. Нормальный аудит не может длиться одну неделю в крупной компании. А во-вторых, не проще потратить деньги, выделенные для аудита, на обучение собственных сотрудников? Если сделать именно так, т о в следующий раз, денег вообще не придется тратить. Обучение собственного персонала, создание уникальных специалистов именно для вашей компании – вот что приносит плоды.
Единственным возможным аудитом в области Информационной безопасности я вижу аудит на соответствие каким-либо положениям или на получение какого-либо сертификата (стандарты, политики безопасности). И даже в этом случае сначала такой аудит должны провести ваши специалисты, а уж потом можно вынести этот вопрос на аутсорсинг.
Другой вопрос, что если в компании вообще нет службы информационной безопасности. Со мной согласятся многие специалисты, что каждая компания должна придти к тому, что у нее есть либо человек, ответственный за безопасность информационную, либо отдел. Хватит учиться на ошибках. Опыт, накопленный в этой области миллионами компаний по всему миру, показывает, что рано или поздно, если вы не будете уделять внимание информационной безопасности, случится неприятность. А она случится обязательно. И потом придется тратить деньги на восстановительные работы, на поиск людей. А этим людям нужно будет включиться в процесс.
Политика информационной безопасности
Следующий после аудита шаг, а возможно шаг, выполняемый параллельно с аудитом, на основе получаемых результатов – это написание политики информационной безопасности. Не буду говорить, что политика информационной безопасности во многих случаях необходимо законодательно, и что считается дурным корпоративным тоном ее отсутствие.
Способов написать политику безопасности много – взять готовую, или воспользоваться опросником или программным решением, а можно опять же попросить стороннюю организацию все это проделать. На основе того, что написано выше хочу сказать, что политика безопасности должна быть сделана собственными силами. Документ политики безопасности не должен стать той формальностью, когда есть документ, но никто не знает, что в нем написано. Документ должен описывать реальную ситуацию, к которой стремится компания, но он не должен стать толстой прошивкой из документации к межсетевым экранам и т.д. Политика информационной безопасности не должна разрабатываться в вакууме, иначе после ее принятия выяснится несогласие с ней многих подразделений и не актуальность ее положений. Лучше всего, когда каждый раздел политики отсылается на согласование/ознакомление руководителям подразделений. Только в таком случае получится «живая политика информационной безопасности».
Но, к сожалению, все не так просто. До сих пор многие руководители не понимают для чего это все нужно и не обращают внимания на работу в этой области. До сих пор существует вопрос о самоокупаемости информационной безопасности. Человеческий фактор основная проблема. Необходимо найти баланс между безопасностью и удобством. Известна аксиома- «безопасность и удобство вещи обратно пропорциональные». Именно поэтому специалист в области корпоративной информационной безопасности должен уметь общаться с людьми. Нельзя бездумно все запрещать, нельзя бездумно все разрешать.
Теперь по поводу самого документа. Документ рекомендуется поделить на несколько обособленных документов. Один описывает цели, средства, ответственность. Другой устанавливает правила работы в корпоративной информационной системе. И отдельно надо уже выделить технические политики. Почему именно так? Правила работы в информационной системе часто будут меняться, и если они выделены в отдельный документ, то исправления вносить придется только в него. Технические политики, скорее всего, являются конфиденциальными данными, и поэтому рядовым сотрудникам совсем необязательно знать как и каким образом реализуются те или иные средства защиты.
Источник: ItSec.ru
Комментарии 1
Прежде чем писать политику, я бы рекомендовала сделать две вещи. Во-первых, используя результаты аудита, убедить хотя бы часть высших руководителей в необходимости выделения ресурсов на ИБ - смешно же писать политику, не зная, будут выделяться на это силы и средства, или нет. Во-вторых, собрать команду, в которую должны быть включены не только люди из ИТ и ИБ, но и, скажем, специалисты службы ДОУ, юристы, кадровики, представители ключевых деловых подразделений - иначе документ неминуемо получится однобокий. И ещё - рекомендую использовать при разработке политики ГОСТ Р ИСО/МЭК 17799-2005.