Информационная безопасность предприятий

Введение.

Данный обзор в первую очередь предназначен для специалистов тех компаний, в которых информационная безопасность, как разносторонний и непрерывный процесс, находится на этапе зарождения. Такая ситуация может проявляться в компаниях, которых так внезапно коснулся закон «О персональных данных», согласно которому они могут быть привлечены к ответственности за разглашение/утерю/утечку данных клиентов и сотрудников. В тех компаниях, где произошёл серьёзный инцидент в области информационной безопасности, который повлиял на бизнес и, как следствие на сознание руководства. Или же самое маловероятное событие – это когда топ-менеджмент компании самостоятельно приходит к выводу, что информационная безопасность, не лишнее бремя, а надёжная опора для бизнеса.

Аудит, как первый шаг.

В любом случае первым шагом должен стать аудит текущего состояния ИТ - инфраструктуры и информационной безопасности компании. Нельзя бездумно пропускать аудит и также бездумно начинать разработку политики информационной безопасности и внедрение систем защиты. Аудит так же не сделает невозможного, аудит может сделать только две вещи – понять, что компания имеет сейчас, какие риски ей угрожают и понять к чему она должна придти. Я думаю, что не стоит упоминать о том, что риски должны быть реальными и информационная безопасность, не должна стать тем якорем, который зацепился за подводные скалы и мешает бизнесу плыть к цели.

Сейчас появляется модная тенденция проводить аудит силами сторонних компаний. Такие компании обещают за короткий срок провести качественную проверку систем безопасности, указать конкретные уязвимости и составить план работ на будущее. Я хочу сказать, что это утопия полагаться, что за одну – три недели, люди, которые не представляют особенности конкретной корпорации, люди, которые видят любой аудит сквозь призму методологии обычного ИТ проекта, не могут провести аудит достойно. Давно уже пора понять, что проекты (в том числе аудиторские) в области информационной безопасности – это не стандартные проекты PM, они лишь отдалённо похожи на собратьев по ИТ. Информационная безопасность включает в себя психологию, социологию, этические аспекты. Я не думаю, что можно позволить аудиторам давать доступ и даже упоминать о серверах, на которых хранится информация, утечка которой грозит компании финансовым ударов или ударом по престижу. Естественно, что все документы, которые аудиторы составят в ходе работы, останутся в компании. Но, то что осталось в их памяти, уйдёт из вашего вида навсегда. Мир ИТ в России очень тесен и фраза оброненная аудитором где-нибудь в кафе, потом может обернуться серьёзными проблемами.

Считается, что основным преимуществом аудиторов является то, что их работа является независимой, что они не будут скрывать недоработки службы безопасности. Вдобавок ко всему аудиторы являются более грамотными специалистами в области ИБ. Взглянем на это с другой стороны. Во-первых, если ваша служба безопасности, ваши технические специалисты скрывают какие-то недоработки, то возникает вопрос в компетентности этих людей и в верности их идеям компании. Зачем оплачивать сотрудников, которые что-то скрывают, которые боятся, что результат их работы станет известен топ-менеджменту? Теперь поговорим об опыте и о знаниях. Я уверен, что сотрудник, который работает в компании продолжительное время, обладает знаниями о внутренней инфраструктуре, об особенностях и проблемах компаниями. И эти знания аудитор не получит за одну неделю. Нормальный аудит не может длиться одну неделю в крупной компании. А во-вторых, не проще потратить деньги, выделенные для аудита, на обучение собственных сотрудников? Если сделать именно так, то в следующий раз, денег вообще не придётся тратить. Обучение собственного персонала, создание уникальных специалистов именно для вашей компании – вот что приносит плоды.

Единственным возможным аудитом в области Информационной безопасности я вижу аудит на соответствие каким-либо положениям или на получение какого-либо сертификата (стандарты, политики безопасности). И даже в этом случае сначала такой аудит должны провести ваши специалисты, а уж потом можно вынести этот вопрос на аутсорсинг.

Другой вопрос, что если в компании вообще нет службы информационной безопасности. Со мной согласятся многие специалисты, что каждая компания должна придти к тому, что у неё есть либо человек, ответственный за безопасность информационную, либо отдел. Хватит учиться на ошибках. Опыт, накопленный в этой области миллионами компаний по всему миру, показывает, что рано или поздно, если вы не будете уделять внимание информационной безопасности, случится неприятность. А она случится обязательно. И потом придётся тратить деньги на восстановительные работы, на поиск людей. А этим людям нужно будет включиться в процесс.

Политика информационной безопасности.

Следующий после аудита шаг, а возможно шаг, выполняемый параллельно с аудитом, на основе получаемых результатов – это написание политики информационной безопасности. Не буду говорить, что политика информационной безопасности во многих случаях необходимо законодательно, и что считается дурным корпоративным тоном её отсутствие.

Способов написать политику безопасности много – взять готовую, или воспользоваться опросником или программным решением, а можно опять же попросить стороннюю организацию всё это проделать. На основе того, что написано выше хочу сказать, что политика безопасности должна быть сделана собственными силами. Документ политики безопасности не должен стать той формальностью, когда есть документ, но никто не знает, что в нём написано. Документ должен описывать реальную ситуацию, к которой стремится компания, но он не должен стать толстой прошивкой из документации к межсетевым экранам и т.д. Политика информационной безопасности не должна разрабатываться в вакууме, иначе после её принятия выяснится несогласие с ней многих подразделений и не актуальность её положений. Лучше всего, когда каждый раздел политики отсылается на согласование/ознакомление руководителям подразделений. Только в таком случае получится «живая политика информационной безопасности».

Но, к сожалению, всё не так просто. До сих пор многие руководители не понимают для чего это всё нужно и не обращают внимания на работу в этой области. До сих пор существует вопрос о самоокупаемости информационной безопасности. Человеческий фактор основная проблема. Необходимо найти баланс между безопасностью и удобством. Известна аксиома- «безопасность и удобство вещи обратно пропорциональные». Именно поэтому специалист в области корпоративной информационной безопасности должен уметь общаться с людьми. Нельзя бездумно всё запрещать, нельзя бездумно всё разрешать.

Теперь по поводу самого документа. Документ рекомендуется поделить на несколько обособленных документов. Один описывает цели, средства, ответственность. Другой устанавливает правила работы в корпоративной информационной системе. И отдельно надо уже выделить технические политики. Почему именно так? Правила работы в информационной системе часто будут меняться, и если они выделены в отдельный документ, то исправления вносить придётся только в него. Технические политики, скорее всего, являются конфиденциальными данными, и поэтому рядовым сотрудникам совсем необязательно знать как и каким образом реализуются те или иные средства защиты.

http://newsway.ru