На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 1 январь-февраль 2006 г.
Тема номера: КОРПОРАТИВНАЯ СТРАТЕГИЯ БЕЗОПАСНОСТИ

РАЗРАБОТКА КОРПОРАТИВНОЙ СТРАТЕГИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

С. А. Петренко, д. т. н.
Предыдущая статьяСледующая статья

По мере приближения России к вступлению в ВТО большинство исполнительных директоров (CЕO), директоров информационных систем (CIO) и директоров безопасности (CSO) отечественных компаний наверняка задавалось вопросом: «Как разработать стратегию информационной безопасности предприятия на практике для эффективного управления операционными рисками компании?

Актуальность задачи

В российской терминологии документ, определяющий стратегию безопасности, часто называют концепцией безопасности, а документ, определяющий тактику безопасности, – политикой безопасности. На Западе принято создавать единый документ, включающий в себя стратегию и тактику защиты, и называть его стратегией безопасности. При этом в стратегии определяются основные цели и задачи защиты информационных активов компании, и она является основой для разработки целого ряда документов безопасности: стандартов, руководств, процедур, практик, регламентов, должностных инструкций и пр.

Что должно мотивировать оте-чественные предприятия и компании разрабатывать стратегию информационной безопасности? Это – выполнение требований законодательства, здравый смысл, следование лучшим практикам в области безопасности.

Выполнение требований законодательства

Каждая компания обладает информацией, представляющей некоторую ценность, и по понятным причинам она не желала бы ее разглашения. Стратегия информационной безопасности позволяет определить цели, задачи, а затем правила, в соответствии с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (ст. 139 Гражданского кодекса и Закон о защите коммерческой тайны).

В зависимости от сферы действия компании, она должна выполнять требования существующего законодательства, применимые к ее отрасли. Например, банки, в соответствии со ст. 857 Гражданского кодекса, должны гарантировать защиту банковской тайны клиентов. Страховые компании должны защищать тайну страхования (ст. 946 Гражданского кодекса) и так далее. Кроме этого, в соответствии с Указом № 188 от 06.03.97 «Об утверждении перечня сведений конфиденциального характера», компании должны обеспечивать защиту персональных данных сотрудников.

В целом, обработка информации и сами автоматизированные системы (АС) отечественных компаний должны удовлетворять требованиям российской нормативной базы в области защиты информации, нормативно-правовым документам (федеральным законам, указам Президента, постановлениям Правительства) и нормативно-техническим документам (государственным стандартам, руководящим документам Гостехкомиссии (ФСТЭК) России, отраслевым и ведомственным стандартам). При этом необходимо принимать во внимание, что после принятия и вступления в силу Федерального закона «О техническом регулировании», а также ГОСТ Р ИСО/МЭК 15408 статус ряда нормативных документов (государственных стандартов, отраслевых стандартов, стандартов организаций и др.) изменился. Государственные стандарты РФ из основного инструмента технического регулирования стали трансформироваться в российские национальные стандарты, требования которых стали носить добровольный характер. Обязательные требования стали устанавливаться в технических регламентах.

Выполнение требований клиентов и партнеров

Клиенты и партнеры компании часто желают получить некоторые гарантии того, что их конфиденциальная информация защищена надлежащим образом, и могут потребовать юридического подтверждения этого в контрактах. В этом случае наличие стратегии информационной безопасности компании и сопутствующих документов как раз является доказательством предоставления подобных гарантий, так как в них декларируются намерения компании относительно качества обеспечения информационной безопасности. Интересно, что партнеров по бизнесу и клиентов компании, как правило, интересуют именно эти «намерения», а не технические средства, с помощью которых эти намерения могут быть достигнуты.

Подготовка к сертификации ISO 9001, ISO 15408 и ISO 17799

Сертификация по одному из вышеперечисленных стандартов подтверждает необходимый уровень обеспечения информационной безопасности компании. В настоящее время фокус создания продуктов и услуг смещается в страны с дешевой рабочей силой, и одним из доказательств того, что компании этих стран смогут адекватно защитить передаваемую информацию производителей, является сертификация на соответствие требованиям стандартов по информационной безопасности, например ISO 17799 (BS 7799, ч. 2). На сайте www.xisec.com ведется реестр компаний, подтвердивших свое соответствие требованиям этого стандарта. Список увеличивается примерно на 50–100 пунктов ежемесячно, что доказывает факт возросшего внимания к этой теме.

Устранение замечаний аудиторов

Любая внешняя аудиторская проверка обращает внимание на необходимость защищенности бизнес-процесов компании, в том числе особое внимание уделяется наличию стратегии и сопутствующих документов безопасности.

Хорошая бизнес-практика

Наличие у компании стратегии информационной безопасности является правилом хорошего тона. В опросе, проведенном в Великобритании компанией PriceWaterHouseCoopers в 2002 году, 67 % компаний назвали именно эту причину в качестве мотива для создания стратегии.

Таким образом, стратегия информационной безопасности необходима для успешной организации режима информационной безопасности любой отечественной компании. Стратегия безопасности минимизирует влияние «человеческого фактора» и недостатки существующих технологий защиты информации. Кроме того, утвержденная и принятая стратегия информационной безопасности дисциплинирует сотрудников компании и позволяет создать корпоративную культуру безопасности.

Как разработать успешную стратегию безопасности?

Прежде чем мы начнем искать ответ на поставленный вопрос, поговорим немного о проблеме доверия.

Кому и что доверять

От правильного выбора уровня доверия к сотрудникам компании зависит успех или неудача реализации стратегии безопасности компании. При этом слишком высокий уровень доверия может привести к возникновению проблем в области безопасности, а слишком низкий – заметно затруднить работу сотрудника, вызвать у него обиду, и даже стать причиной увольнения.

Насколько можно доверять своим сотрудникам? Обычно используют следующие модели доверия.

Доверять всем и всегда – самая простая модель доверия, но, к сожалению, не практичная.

Не доверять никому и никогда – самая ограниченная модель доверия и также не практичная.

Доверять избранным на время – модель, подразумевающая определение разных уровней доверия на определенное время. При этом доступ к информационным ресурсам компании предоставляется по необходимости для выполнения служебных обязанностей, а средства контроля доступа используются для проверки уровня доверия к сотрудникам компании.

Вряд ли существует компания, в которой следуют модели доверия «доверять всем и всегда». В сегодняшнем мире это маловероятно. То же самое относится и ко второй модели доверия «не доверять никому и никогда». Таким образом, самой реалистичной является третья модель.

Трудности внедрения стратегии безопасности

Опыт показывает, что внедрение стратегии безопасности часто приводит к возникновению напряженности во взаимоотношениях между сотрудниками. Это в основном связано с тем, что многие люди зачастую пренебрегают следованием правилам безопасности, так как не хотят ограничивать себя в действиях. Другая причина заключается в том, что каждый сотрудник имеет свое представление (необязательно солидарное с принятой в компании политикой безопасности) о необходимости и способах организации режима информационной безопасности в компании. Например, персонал сбытового контура желает оперативного исполнения своих обязанностей без каких-либо задержек, связанных с применением средств защиты информации. Служащих службы поддержки часто интересует только простота эксплуатации администрируемых ими информационных систем. Tоп-менеджмент заинтересован, прежде всего, в оптимизации затрат и уменьшении общей стоимости владения, TCO корпоративной системы защиты информации. Получить одобрение всех положений стратегии безопасности у перечисленных групп – трудная и практически не осуществимая задача. Посему лучше всего попробовать достичь некоторого компромисса.

Кто заинтересован в стратегии безопасности?

Стратегия безопасности затрагивает практически каждого работника компании. Сотрудники службы поддержки будут осуществлять и поддерживать правила безопасности компании. Менеджеры заинтересованы в обеспечении безопасности информации для достижения своих целей. Корпоративные юристы и аудиторы едины в стремлении поддержать репутацию компании и предоставить определенные гарантии безопасности ее клиентам и партнерам. Рядовых сотрудников стратегия безопасности затрагивают в наибольшей степени, поскольку правила безопасности накладывают ряд ограничений на их поведение и затрудняет выполнение работы.

Состав группы по разработке стратегии безопасности

Буклет SAGE «A Guide to Developing Computing Policy Documents» рекомендует следующий состав рабочей группы по разработке стратегии безопасности:

  • член совета директоров;
  • представитель руководства компании (CEO, финансовый директор, директор по развитию);
  • CIO (директор службы автоматизации);
  • CISO (директор по информационной безопасности);
  • аналитик службы безопасности;
  • аналитик службы ИТ;
  • представитель юридического отдела;
  • представитель от пользователей;
  • технический писатель.

Размер группы будет зависеть от широты и глубины проработки стратегии безопасности.

Основные требования к стратегии безопасности

В идеале стратегия безопасности должна быть реалистичной и выполнимой, краткой и понятной, а также не приводить к существенному снижению общей производительности подразделений компании. Она должна содержать основные цели и задачи организации режима информационной безопасности, четко описывать области действия, а также указывать на контактные лица и их обязанности. Как только стратегия утверждена, она должна быть пре-доставлена сотрудникам компании для ознакомления. Наконец, стратегия безопасности должна пересматриваться раз в 3–5 лет, чтобы отра-зить текущие изменения в развитии бизнеса.

< ... >

 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100