Требования регуляторов на предприятии

Требования регуляторов на предприятии

В наше время многие российские компании и государственные учреждения решают задачи создания системы информационной безопасности (СИБ), которая соответствовала бы стандартам информационной безопасности (ИБ), предъявляемым регуляторами информационной безопасности в Российской Федерации (ФСБ, ФСТЭК, Роскомнадзор). Такая проблема встает как перед молодыми компаниями (только начинающих свою деятельность), так и перед предприятиями и организациями, давно присутствующих на рынке, которые приходят к необходимости модернизировать существующую у них информационную инфраструктуру, что зачастую сложнее, чем создать всю систему с нуля.

С одной стороны, необходимость повышения эффективности функционирования СИБ связана с возрастанием количества проблем, связанных с обеспечением ИБ. Здесь необходимо упомянуть растущие требования к обеспечению ИБ со стороны соответствующих регуляторов, так же следует отметить, что российские компании приходят к необходимости учитывать в своей работе, так называемые репутационные риски, а именно ответственность по обеспечению конфиденциальности данных своих клиентов, субподрядчиков, партнеров и т.д. Вместе с тем, в большинстве российских компаний организационная составляющая системы ИБ проработана слабо. Например, данные зачастую не классифицированы, то есть компания не имеет четкого представления о том, какие у нее есть типы данных с позиций их конфиденциальности, критичности для бизнеса, а это влечет за собой целый ряд проблем, начиная от сложностей в обосновании адекватности мероприятий по защите информации и заканчивая невозможностью при возникновении инцидента использовать правовые методы их расследования.

Еще одна немаловажная проблема в сфере защиты информации (ЗИ) связана с обеспечением непрерывности функционирования информационных систем (ИС). Для многих компаний, прежде всего, финансовых организаций, производственных холдингов, крупных дистрибьюторов бесперебойная работа ИС, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам и прочим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему (атаки типа «отказ в обслуживании» и др.

С другой стороны, в большинстве Крупных компаний имеет место унаследованная «хаотичная» автоматизация. Развитие корпоративных ИС осуществляется достаточно непродуманно. Чаще всего используется политика «латания дыр», новые ИТ-сервисы добавляются без привязки к уже существующим и без учета их взаимосвязи. И точно так же отсутствует продуманная архитектура системы ИБ, мало кто до настоящего времени определял, насколько система ИБ полная, насколько она покрывает риски, избыточна она или, наоборот, недостаточна и т.д. И что немаловажно — система ИБ редко бывает обоснованной экономически.

Построение СИБ на предприятии можно разделить на четыре части: обследование, проектирование, внедрение, сопровождение и обслуживание.

Проведение аудита информационной безопасности на предприятии.Прежде чем начинать, строить СИБ на предприятии, необходимо представлять, что уже построено. Для этих целей необходимо провести обследование существующейинформационной инфраструктуры предприятия. На рисунке показана общая структура такого обследования.

Рисунок 1 – Общая структура обследования.

Для проведения качественного аудита информационной безопасности фирме- аудитору должна быть предоставлена исчерпывающая информация об информационной инфраструктуре предприятия и методах ее защиты. Приведем перечень необходимой информации:

1. Организационно-распорядительная документация по вопросам ИБ: политика информационной безопасности предприятия, руководящие документы по вопросам классификации, обрабатываемой на предприятии информации, ее хранения, порядка доступа к ней и ее передачи, инструкции и регламенты работы администраторов и пользователей с информационными ресурсами АС.

2. Информация об аппаратном обеспечении: перечень серверов, рабочих станций и коммуникационного оборудования, информация о конфигурации используемого оборудования, информация о периферийном оборудовании.

3. Информация о системном программном обеспечении: данные об операционных системах серверов и рабочих станций.

4. Информация о прикладном программном обеспечении: данные о СУБД, прикладных программах и т.д.

5. Информация о средствах информационнойбезопасности:информацияопроизводителе, наличие сертификатов на соответствие средств защиты требованиям регуляторов в области ИБ, данные о конфигурационных настройках СЗИ, схемы установки и методики применения СЗИ.

6. Информация о топологии информационной сети предприятия: топология ЛВС предприятия, включая разбиение на сегменты, данные о типах каналов связи, топологии, схема информационных потоков в системе, схему подключения к сетям общего пользования.

Как показывает практика, перечисленный выше перечень информации, предоставляется полностью очень редко, поэтому для получения полного объема требуемых данных аудит информационной безопасности на предприятии в большинстве случаев выглядит следующим образом:

1. Фирма заказчик, предоставляет всю имеющуюся у нее информацию и документацию по существующим на фирме информационным системам и методах их защиты. Так же предоставляются все существующие организационно- распорядительные документы по данной тематике.

2. Затем фирма, проводящая аудит раздает опросные листы (анкеты) всем сотрудникам предприятия, которые имеют отношение к функционированию ИС и ее защите. Опросные листы должны быть скорректированы на основе информации, полученной ранее.

3. На третьем этапе представители фирмы-аудитора выезжают на территорию фирмы-заказчика и обследуют ИС, а так же проводят опрос сотрудников, которые работают с ИС, обеспечивают ее работоспособность.

4. На четвертом этапе аудита проводится инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно­аппаратного обеспечения системы. Данный этап является необязательным, хотя именно он позволяет составить наиболее полную картину защищенности ИС.

5. На пятом этапе сотрудники фирмы-аудитора обрабатывают полученную информацию и пишут отчет о проведенном обследовании.

Аудит информационной безопасности позволяет объективно и всесторонне оценить текущее состояние системы обеспечения информационной безопасности компании. В рамках комплексного аудита может проводиться анализ документации компании в области ИБ, анализ защищенности сетевой инфраструктуры компании, проверка уровня знаний сотрудников в области обеспечения ИБ, анализ процессов и процедур, организационных мероприятий по обеспечению ИБ, разработка моделей возможного нарушителя и угроз.

Также в рамках аудита может быть выполнено тестирование на проникновение и анализ рисков.

Проведение комплексного аудита по информационной безопасности позволяет:

1. получить независимую оценку состояния информационной безопасности в компании;

2. выявить слабые и потенциально уязвимые места, возможные риски;

3. сформировать детальный план мероприятий по совершенствованию системы обеспечения информационной безопасности, включающий в себя проект бюджета и организационно-штатные мероприятия компании.

По результатам проведенного аудита, в зависимости от условий, заказчику предоставляется пакет документов, который содержит подробный отчет, план мероприятий по совершенствованию/доработке системы ИБ, модели угроз и потенциального нарушителя.

Эффективная реализация, сопровождение и развитие комплекса мер защиты возможны только при наличии формализованного системного подхода к обеспечению информационной безопасности. Для решения этой задачи предназначена система внутренних организационно-распорядительных документов (ОРД) в области информационной безопасности.

Основная цель организационно-распорядительных документов в области информационной безопасности — сформировать интегрированную систему взглядов на цели, задачи, основные принципы и направления деятельности в области обеспечения информационной безопасности с учётом действующего законодательства Российской Федерации, отраслевых и международных стандартов.

В Уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях организации (департаментов, управлений, отделов, служб, групп, секторов и т.п.) и в функциональных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информационной безопасности при работе в АС.

Задачи организации и функции по ОИБ ее подразделений и сотрудников в перечисленных выше документах должны формулироваться с учетом положений действующего в России законодательства по информатизации и защите информации (Федеральных Законов, Указов Президента РФ, Постановлений Правительства РФ и других нормативных документов).

Конкретизация задач и функций структурных подразделений, а также детальная регламентация действий сотрудников организации, их ответственность и полномочия по вопросам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по ОИБ.

В целях обеспечения единого понимания всеми подразделениями и должностными лицами (сотрудниками) организации проблем и задач по обеспечению безопасности информации в организации целесообразно разработать «Концепцию обеспечения информационной безопасности» организации. В Концепции на основе анализа современного состояния информационной инфраструктуры организации и интересов организации в области обеспечения безопасности должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач.

Смотрите так же:  Неполный рабочий день пособие по уходу за ребенком

Необходимым элементом организации работ по обеспечению безопасности информации, ее носителей и процессов обработки вАС организации является категорирование, то есть определение требуемых степеней защищенности (категорий) ресурсов АС (информации, задач, каналов взаимодействия задач, компьютеров). Для обеспечения управления и контроля за соблюдением установленных требований к защите информации и с целью обеспечения дифференцированного подхода к защите конкретных АРМ различных подсистем АС организации необходимо разработать и принять «Положение об определении требований по защите (категорировании) ресурсов» вАС организации. В этом документе необходимо отразить вопросы взаимодействия подразделений организации при определении требуемой степени защищенности ресурсов АС организации в зависимости от степени ценности обрабатываемой информации, характера обработки и обязательств по ОИБ перед сторонними организациями и физическими лицами.

Целесообразно введение классификации защищаемой информации, включаемой в «Перечень информационных ресурсов, подлежащих защите», не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления — своевременности решения задач).

В данном Перечне необходимо также указывать подразделения организации, являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты.

Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной «Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы».

Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров вАС должны определяться «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС».

Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию».

«Инструкция по организации антивирусной защиты» должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение.

«Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

При использовании в некоторых подсистемах АС средств криптографической защиты информации и средств электронной цифровой подписи необходим еще один документ, регламентирующий действия конечных пользователей, — «Порядок работы с носителями ключевой информации».

Для пользователей защищенных АРМ (на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие требования по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.

Регламентация предусматривает введение таких ограничений и внедрение таких приемов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности

Политика информационной безопасности предприятия

Защита данных
с помощью DLP-системы

Запишитесь на вебинар

З ащита бизнеса от конкурентов предполагает и активные шаги в области защиты информационной безопасности предприятия. Не все готовы уделять силы и время разработкам методик и политик, но, как показывает практика, даже готовые стандарты и модели поведения снижают риск утечек информации в несколько раз.

Основные угрозы в информационном поле

Российские компании должны быть готовы к тому, что за их деятельностью в информационном поле пристально следят конкуренты. Любые сведения о бизнес-планах, сделках, новых продуктах, кадровых назначениях могут привести к серьезному ущербу репутации и финансовым убыткам. Авторы большинства методик и политик информационной безопасности обращают внимание на то, что все типы угроз защите информации и безопасности организации делятся на три группы:

  • не связанные с человеческим фактором, вызываемые проблемами с оборудованием, техногенными авариями, перерывами в энергоснабжении;
  • связанные с человеческими действиями и решениями угрозы внешнего характера, вызванные проникновением в защищенный информационный периметр третьих лиц, использующих для такого проникновения и организации утечек информации вредоносные программы или различные типы закладных устройств;
  • внутренние угрозы, при которых утечки организуются при помощи сотрудников компании, мотивированных деньгами или личными неприязненными отношениями.

Большинство рискованных ситуаций связано именно с действиями сотрудников, которых часто несложно подкупить конкурентам. Минимизировать эти риски призваны политики информационной безопасности, которые позволяют защитить массивы данных, установить различные уровни допуска к ним, сертифицировать оборудование и программное обеспечение.

Ущерб, причиняемый утечками информации

Сложно подсчитать реальный ущерб, причиняемый российскому бизнесу утечками информации. Такой статистики не ведется. Но существует возможность вычленить основные виды ущерба и предположить размер их оценки с финансовой точки зрения. Если компания является субъектом, обязанным хранить защищаемую законом информацию, например, государственную тайну, полученную в связи с исполнением государственных контрактов, соблюдение требований к информационной безопасности становится гарантией ее выживания на рынке, сохранения своего статуса. Обычные компании могут рисковать тем, что:

  • массивы их финансовой информации станут известны конкурентам;
  • используемые ими схемы и методы ведения бизнеса, налогового планирования, связи станут опубликованы, что принесет ущерб деловой репутации и контактам;
  • станут известны разработки новой продукции, бизнес-планы, маркетинговые исследования;
  • утекут данные о важных переговорах, сделках, инвестициях, важные объекты могут быть перехвачены;
  • будут утрачены сведения, составляющие коммерческую тайну клиентов.

В последнем случае компания понесет серьезный прямой финансовый ущерб в виде сумм выплат по искам, в предыдущих ситуациях ущерб будет расчетным. Кроме того, если в СМИ станет известно о том, что информация компании легко доступна для третьих лиц, она начнет терять партнеров и клиентов.

Субъекты в зоне риска

Далеко не все компании подвержены всем предполагаемым видам риска и могут понести существенный ущерб от действий хакеров и инсайдеров. К наиболее интересующим злоумышленников группам предпринимателей относятся:

  • компании, работающие в сфере электронной коммерции, проводящие платежи за пользование своими услугами при помощи современных технологий;
  • компании, работающие в сфере наукоемких технологий, медицины, фармацевтики, программирования;
  • все организации, работающие с массивами чужой конфиденциальной информации (банки, медицинские учреждения, аудиторские и оценочные компании).

Несмотря на то, что такие предприятия не всегда готовы уделить информационной безопасности столько же сил, что и гиганты нефтяного рынка, для них это является не менее насущной необходимостью.

Механизм разработки политики информационной безопасности

Службы безопасности российских предприятий и их информационные подразделения не всегда смогут предложить руководству действительно эффективную политику информационной безопасности предприятия, основанную на новейших американских и европейских разработках в этой области, на мировых стандартах.

При принятии решения о подготовке пакета документов необходимо ориентироваться или на уже внедренные политики крупных компаний, таких как ПАО «Газпром нефть», или, с учетом специфики каждого конкретного бизнеса, на приглашенных специалистов, имеющих опыт в этой сфере деятельности и уже внедрявших стандарты в этой же или схожей сфере бизнеса. Риски и проблемы, связанные с утечками информации торгового предприятия, не сравнимы с рисками утечки данных на электростанции. Учитываться должно все, в том числе и каналы физической передачи сведений, даже пути движения производственных отходов.

Хорошо разработанная политика информационной безопасности представляет собой сложную систему документов и отношений, в которой каждый документ нижнего уровня вытекает из документа верхнего уровня и предназначен для решения своей категории задач. Просто разработка нормативно-правового акта не решает задачи защиты информации, необходимо внедрить систему, опробовать ее на практике, произвести аудит качества выполнения задач информационной безопасности, при необходимости произвести доработку. Стандартно система документации в области политики информационной безопасности делится на три уровня:

  1. Верхний. Он принимается в виде одного документа, утверждается на уровне Совета директоров компании. Его задачей становится демонстрация общего отношения руководства и собственников компании к важности защиты информации. Документ ставит общие для всех подразделений цели, выявляет основные риски и угрозы.
  2. Основной. На этом уровне может быть разработано от одного до нескольких десятков документов. Многие компании ограничиваются перечнем информации, являющейся коммерческой тайной, другие регламентируют все – от режима копирования документов до тем, разрешенных к обсуждению по корпоративным телефонам.
  3. Технический. Это способы и механизмы информирования сотрудников об их обязанностях в сфере защиты информации. На этом уровне разрабатываются краткие методички для ознакомления, вносятся соответствующие изменения в трудовые договоры. От серьезности отношения к политике корпоративной безопасности будет зависеть степень информированности сотрудников и их ощущение собственной ответственности за отсутствие утечек. Персонализация ответственности должна стать одним из приоритетов при разработке этого уровня документов.
Смотрите так же:  Образец искового заявление о взыскании материального ущерба

Общий объем подготовленной документации может составить сотни страниц, но обеспечение безопасности требует именно такого серьезного подхода. Защищаемая информация представляет собой серьезный актив, за обладание которым будут бороться многие силы.

Верхний уровень политики

Во многом этот документ становится визитной карточкой предприятия, наиболее важно это в ситуациях, когда оно вступает в бизнес-отношения с новыми партнерами, особенно зарубежными, или готовится привлечь инвестора. Наличие качественных стандартов защиты информации покажет ценность компании как потенциального контрагента и серьезное отношение ее руководства к требованиям законодательства и интересам клиентов. Поэтому документ верхнего уровня должен содержать:

  • формализованное решение защищать информационную безопасность предприятия на современном и профессиональном уровне;
  • перечень всех ресурсов, защита которых становится наиболее востребованной и целесообразной. К ним могут относиться и сами ресурсы (базы данных клиентов, разработки НИОКР Научно-исследовательские и опытно-конструкторские работы, патенты), и системы защиты информационных технологий, используемые программные ресурсы, особенно доработанные в индивидуальном порядке;
  • общий подход к ответственности за сохранность информации. Это и название должностей руководителей, на которых возложена такая задача, и применяемые меры воздействия на персонал, и разграничение прав доступа;
  • требования к сотрудникам заботиться о защите информации, соблюдать стандарты и методики, проходить обучение и повышать квалификацию в этой области;
  • общий подход к наказанию нарушителей, чьи действия стали причинами утечек информации.

Такой документ носит характер, скорее, декларационный и мотивационный, он не описывает конкретных действий, но его разработка необходима.

Средний уровень документации

Высший уровень политики информационной безопасности обычно оформляется в виде одного документа, размещаемого на сайте компании. Именно с ним под подпись знакомятся все вновь принимаемые сотрудники. Но наиболее важным для практического воплощения становится средний уровень подготовленной документации, именно он регламентирует действия конкретных сотрудников и дает возможность привлечь их к ответственности за несоблюдение политики защиты безопасности в сфере информации. Ответственность сотрудников должна опираться не только на методики, но и корреспондируемые им нормы в трудовых договорах и должностных инструкциях, только это станет основанием для возмещения причиненного компании ущерба в судебном порядке. В этих нормативных актах (методиках, стандартах, инструкциях) должны быть предусмотрены:

  • требования компании к построению направлений информационных потоков, уровням значимости тех или иных массивов информации;
  • требования к техническому обеспечению информационной безопасности предприятия, к оборудованию, программному обеспечению, необходимости их сертификации. Сертификация требуется для тех предприятий, которые выстраивают свою деятельность по стандартам ISO, тех, кто работает со сведениями, составляющими государственную тайну, или для операторов персональных данных;
  • требования к надежности защиты, включающие в том числе требования к надежности оборудования, программного обеспечения, персонала, обеспечивающего их обслуживание;
  • отношение компании к построению информационных систем, выделению отдельных защищаемых секторов, не имеющих выхода в сеть Интернет, необходимости создания отдельных периметров защиты наиболее важной информации, отношение к копированию документации и возможности иного снятия информации;
  • требования к сотрудникам как к наиболее важному ресурсу в сфере защиты информации. От сотрудников напрямую зависит защита от всех видов угроз, которым подвержены информационные системы. Поэтому компания должна позаботиться и об усилении степени ответственности за нарушение режима безопасности и о мотивации, обеспечивающей личный интерес сотрудников к защите безопасности;
  • перечень инцидентов информационной безопасности, порядок информирования об их возникновении, порядок и способы реагирования на них.

Порядок разработки политики информационной безопасности

Первыми шагами при разработке политики становятся меры, связанные со сбором информации. В реализации этой задачи должны быть заинтересованы все подразделения, которые должны предоставить свои перечни сведений, считающихся конфиденциальными, свое видение тех шагов, которые помогут обезопасить базы данных. Такие шаги создадут для всего персонала компании ощущение общего дела при разработке политики информационной безопасности и облегчат ее внедрение. После сбора информации необходимо будет перейти к совершению следующих шагов, ответственными за результаты которых окажутся разработчики:

  • оценить персональное отношение руководства компании к необходимости разработки и внедрения политики информационной безопасности, выявить более и менее заинтересованных субъектов, разработать индивидуальный механизм убеждения топ-менеджеров в необходимости внедрения современных стандартов защиты безопасности;
  • провести анализ тех информационных объектов, которые, по мнению разработчиков, могут оказаться наиболее интересными для злоумышленников. Это могут быть крупные массивы персональных данных, клиентские базы, научные разработки, ноу-хау, сведения о зарубежных активах и многое другое;
  • выявить все реальные и реализуемые угрозы информационной безопасности, провести анализ их потенциальной возможности к реализации, выявить изменения в информационном поле, говорящие о начале активации любого из видов угроз.

Проведение такого анализа позволит разработать приемлемую именно для конкретного бизнеса структуру политики информационной безопасности. Одним из важных факторов станет учет структуры бизнеса. Крупные группы компаний с множеством филиалов и отделений, распределенных по территории страны, защитить сложнее, чем небольшое предприятие, все сотрудники которого находятся на одном этаже современного офисного здания. Выявление всех значимых факторов позволит определить стратегию и тактику разработки политики. Важно, что точки зрения всех субъектов принятия решений в компании никогда не совпадут, поэтому цель разработчиков – предложить политику, устраивающую большинство топ-менеджеров и руководителей филиалов.

Кроме того, разработчики будут опираться и на законодательство. Если компания обрабатывает массивы информации, среди которых есть персональные данные граждан, обрабатываемые в качестве оператора или имеет доступ к государственной, военной врачебной или банковской тайне, то ее самостоятельность в выборе программных и технических мер ее защиты будут ограничены. Стандарты информационной безопасности для нее, а именно, необходимость принятия внутренних положений и выбор программного обеспечения, сертифицированного по определенным группам безопасности, будут определяться регуляторами. – Роскомнадзором, ФСБ и другими. Строго определенные нормы и правила снизят уровень инициативности в принятии решений, но помогут решить часть задач, связанных с определением уровня финансирования внедрения политики.

Принципы разработки

Готовя сложный комплексный план защиты информационной безопасности, разработчики должны опираться на следующие принципы:

  • документы более низкого уровня должны полностью соответствовать политике верхнего уровня, федеральному законодательству, рекомендациям и стандартам регуляторов (Роскомнадзора, Центробанка и других);
  • все положения, утверждения, рекомендации должны быть ясны и однозначны, ни одна из норм не должна давать возможность истолковать ее в разных плоскостях, например, в результате несогласованности терминологии;
  • политика информационной безопасности должна полностью соответствовать уровню подготовки тех сотрудников, для которых она предназначена.

Третье требование наиболее важно. Нормы, предназначенные для администраторов, не должны быть навязаны простым пользователям. Информационный обмен должен быть разграничен, каждый из пользователей должен отвечать только за свой участок работы. Важно, что политика информационной безопасности должна дать понять каждому сотруднику, что ее целью является защита не только компании или акционеров, но и каждого пользователя.

Этапы разработки и внедрения политики информационной безопасности

Приступая к разработке политики безопасности, необходимо ориентироваться на следующий план действий:

  • проведение предварительного информационного исследования, которое поможет выявить все значимые для разработки политики моменты;
  • разработка самой политики, которая должна производиться в тесном контакте со всеми причастными подразделениями – от IT-отдела до службы безопасности и кадрового подразделения. Устранение любого из значимых руководителей от разработки приведет к тому, что при реализации политики многие важные связи будут разорваны;
  • внедрение политики. На этом этапе необходимо учитывать, что внедрение новых стандартов неминуемо вызовет активное сопротивление персонала, не готового отступать от привычных способов выполнения своей ежедневной работы. Надо заручиться поддержкой руководства и иногда «на пальцах» демонстрировать преимущество новых методов работы;
  • анализ результатов внедрения, выявление узких мест, разработка направлений, в которых политика должна совершенствоваться.
  • Такие циклы могут повторяться несколько раз до достижения результатов, которые будут признаны руководством компании и регулятором допустимыми или достаточными.

Предприятие, готовое потратить силы и средства на внедрение политики информационной безопасности, может быть уверено в защите ценных данных по современным методикам. Конкуренты, хакеры, иные злоумышленники не смогут пробиться сквозь защищенный периметр и принести вред интересам компании, ее клиентов, персонала.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними

Информационая безопасность: равнение на регулятора или на лучший опыт?

Можно выделить два фундаментальных подхода к выстраиванию информационной безопасности — с опорой на выполнение требований регуляторов либо на лучший опыт. Первый под­разумевает, что организация стремится обеспечить выполнение рекомендаций и требований, зафиксированных в документах государственных и отраслевых регуляторов. Таким образом она снижает риск претензий со стороны регуляторов, однако, поскольку их документы, как правило, выходят значительно позже, чем появляются угрозы и риски, против которых они направлены, организация на какое-то время остается беззащитной против новых угроз. Другой подход характерен для компаний, которые нацелены на обеспечение разумной безопасности и черпают методы защиты от угроз из «копилки опыта», наработанного другими организациями. Таким образом достигается достаточно высокая защищенность, однако требования регуляторов выполняются не всегда, что чревато санкциями.

Смотрите так же:  Сверка автомобиля срок действия

По мнению Петра Курило, начальника департамента информационной безопасности «Транскапиталбанка», необходимо максимально учитывать требования и рекомендации регуляторов и лучший опыт. Правда, отмечает он, для выполнения требований регуляторов, возможно, понадобится увеличение бюджета. Одно требование использовать сертифицированные средства защиты информации чего стоит.

«На мой взгляд, во всех ситуациях разумнее полагаться на лучший опыт, — советует Саид Аль-Уляфи, директор по информационной безопасности Национального банка «Траст». — Рекомендации регуляторов носят, как правило, фундаментальный характер и не учитывают особенности конкретной организации и динамично растущий технологический уровень угроз, к тому же они обычно запаздывают. Если система обеспечения ИБ в организации выстроена надлежащим образом, занимается защитой информации, то все по настоящему эффективные меры предпринимаются задолго до того, как от регуляторов поступают какие-либо рекомендации по решению возникшей проблемы».

Алексей Грачев, руководитель направления консалтинга корпорации ЕМС в России и СНГ, отмечает, что лучший опыт в области ИБ учитывает и внутренние требования (исходящие от бизнеса), и внешние (контрактные обязательства, требования законодателей и регуляторов): «Принятие решений в области ИБ на основе оценки рисков и их ранжирования, а также обработки всех рисков, уровень которых превысил принятый руководством порог, является универсальным ответом», — добавляет Грачев.

По наблюдениям Артема Медведева, руководителя направления Enterprise Security компании HP в России, первый подход нередко встречается там, где ресурсы и бюджеты на обеспечение ИБ сильно ограничены либо где нет серьезных рисков, связанных с ИТ. Второй — это рациональный комплексный подход к обеспечению ИБ на предприятии. «Лучший опыт позволяет сбалансированно совершенствовать все три ключевых компонента организации защиты — человеческий фактор, технологии и процессы», — отмечает Медведев.

Согласно опыту Андрея Прозорова, ведущего эксперта компании InfoWatch по информационной безопасности, многие организации стараются совмещать два подхода. Тем не менее если приходится делать выбор, то в первую очередь оцениваются сопутствующие риски.

«Бывают случаи, когда выполнение требований и лучший опыт противоречат друг другу, однако лучшие подразделения ИБ стремятся найти взвешенный баланс между этими методиками, — говорит Кирилл Керценбаум, менеджер по развитию бизнеса «Лаборатории Касперского». — Однако иногда такой выбор делать приходится».

«На извечный вопрос «Что важнее: «бумажная» безопасность или реальная?» можно ответить другим вопросом, который показывает несостоятельность первого: «Что важнее: соблюдать правила дорожного движения или иметь исправную машину?» — продолжает Павел Эйгес, генеральный директор «МакАфи Рус». — Требования регулятора вообще не обсуждаются — их нужно выполнять, чтобы легально работать. При обеспечении соответствия этим требованиям можно использовать передовые средства защиты — как технические, так и организационные. Нужно уметь держать руку на пульсе: располагать устойчивой ИБ-инфраструктурой, соответствующей вашим потребностям, и постоянно работать над ее актуализацией».

Противопоставление «бумажного» подхода и реальной безопасности было актуальным несколько лет назад, вспоминает Валентин Крохин, заместитель директора центра информационной бе­зопасности компании «Инфосистемы Джет». Сейчас эта грань все больше стирается, считает он: «Компании стараются «вписать» бумажные требования в реальную безопасность. Тем не менее до конца разграничение не исчезло».

Выполнение требований регуляторов не ведет напрямую ни к реальной защите, ни к увеличению зрелости ИБ, хотя и является обязательным, отмечает Михаил Башлыков, руководитель направления информационной безопасности компании «Крок»: «Если нужна эффективная система управления ИБ, то ограничиваться только выполнением требований регуляторов нельзя».

Александр Ульянов, ведущий инженер департамента телекоммуникационных решений компании «ЛанКей», уверен, что подход, основанный на рекомендациях и опыте реальных внедрений, эффективнее и надежнее.

«Окончательный выбор подхода всегда остается за владельцами бизнеса, — уверен Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.». — Многое обу­словлено профилем организации, численностью сотрудников, степенью автоматизации и, конечно же, характером обрабатываемой и хранимой информации. Большая часть крупных организаций комбинирует подходы». В ряде организаций управление ИБ является частью риск-менеджмента всего предприятия. В этом случае оба подхода гармонично учитываются в части управления рисками.

От выбора подходов — к балансу между ними

По наблюдениям Медведева, сегодня в России едва ли удастся встретить только один из подходов в чистом виде: «Организации понимают, что не изолированы и живут в экосистеме ИТ. Им нужны новые возможности ИТ, чтобы дальше вести бизнес успешно в современной конкурентной среде».

Если говорить об организациях финансового сектора, то они, по словам Курило, в первую очередь стараются выполнить все требования регулятора отрасли. «Оставшиеся время и деньги идут на то, чтобы дополнить систему защиты информации решениями, выстраиваемыми на основе лучшего опыта, — поясняет Курило. — Такой подход отражается на перегруженности специалистов ИБ и бюджета. Впрочем, влияние регуляторов не следует рассматривать как негативный фактор — нередко выполнение их требований идет на пользу службам ИБ банков».

«Требования регуляторов мы обязаны выполнять, поэтому именно на их концептуальной основе разрабатывается верхнеуровневая регламентирующая база ИБ (то есть политики), — добавляет Аль-Уляфи. — Требования эти, как правило, избыточны. Специфика реальной деятельности банка в части организации процессов и реализации технической защиты отражена в документах, непосредственно их описывающих (порядки, процедуры, инструкции и т.д.)».

По опыту Прозорова, выбор подхода очень сильно влияет на выстраивание всей системы информационной безопасности: «В первом случае организация, как правило, нанимает консультантов, которые помогают ей выстроить инфраструктуру ИБ, отвечающую требованиям регуляторов. Потом готовятся политики безопасности, но они чаще всего остаются на бумаге. Разу­меется, информация защищается плохо — впрочем, лишь до первого громкого инцидента».

««Бумажный» подход часто превращается в преобладание «бумажных» требований над реальными инструментами защиты, запретительных мер над контрольными, — делится своими наблюденими Керценбаум. — Часто вместо разработки собственной адаптированной модели угроз за основу берется стандартная, рекомендуемая. В бизнес-процессы вносятся подчас совершенно противоречащие здравому смыслу ограничения или надстройки. С другой стороны, если использовать чисто практический подход, не коррелирующий с нормативными требованиями, могут возникать юридические и репутационные риски».

«Законопослушность не отменяет заботу о реальной защищенности», — добавляет Сабанов.

Ищем золотую середину

Эксперты единодушны: между двумя ключевыми подходами к ИБ можно и нужно искать баланс. «Безопасность не бывает стопроцентной, это многие знают и потому решают задачи, наиболее критичные для их организации в данный момент, пользуясь лучшими практиками и одновременно соблюдая требования регуляторов, если последствия от их неисполнения обойдутся дороже, чем их исполнение», — комментирует Медведев.

«Регуляторные требования должны исполняться в минимально необходимом объеме, — делится опытом Аль-Уляфи. — Выполнять их все без исключения очень накладно. Приоритет, безусловно, следует отдавать опыту — и мировому, и отечественному, и накопленному внутри организации, закрывая регуляторные риски различными компенсирующими мерами».

«Реальная безопасность не должна противоречить требованиям законодательства, но и законодательство не должно вынуждать компании строить неэффективные или бессмысленные инструменты и политики ИБ, — поясняет Керценбаум. — Скорее, инструменты должны максимально подстраиваться под эти требования, но не полностью меняться под их давлением».

Как отмечает Крохин, золотая середина возможна только в том случае, когда требования регуляторов вписываются в существующую ИБ-инфраструктуру. «До недавнего времени требования регуляторов и реальная безопасность иногда были «перпендикулярны» друг другу, — сетует Крохин. — К счастью, ситуация меняется».

Принципиально важно при создании решения ИБ, считает Ульянов, помнить о цели и задаче его внедрения: «Если решение не выполняет возложенных на него задач, оно бесполезно».

Итак, следует искать разумный баланс между «бумажной» и реальной безопасностью. И скорее всего, перевес будет за реальным опытом, поскольку соблюдение требований регуляторов, как правило, не самоцель. Вместе с тем очень полезно, внедряя новые решения ИБ, сопоставлять, насколько они соответствуют тенденциям развития регуляторной базы, — чтобы потом не пришлось серьезно перестраивать «цитадель» защиты информации.

Поделитесь материалом с коллегами и друзьями