Информационная безопасность – инструмент бизнеса
В конце прошлого века в нашу повседневную жизнь вошли современные информационные технологии, уровень доступности которых впечатляет. Скорость развития ИТ не сравнима ни с одной из существующих отраслей в мире. По объемам финансовых вложений и возвратности инвестиций ей также нет равных.
Вместе с тем новые технологии создают новые риски. В эпоху построения информационного общества доля услуг в области информационных технологий (включая внутренние услуги на самих предприятиях) возрастает и начинает играть существенную роль не только в определении стратегических целей, но и в благополучии самих компаний.
Ценность информации, хранящейся и передаваемой в электронном виде, становится сопоставимой со стоимостью самих услуг, оказываемых организациями своим клиентам. В этой связи задачи, стоящие в области информационной безопасности, все более и более становятся задачами безопасности всей деятельности как коммерческих, так и государственных организаций.
К сожалению, надо признать тот факт, что большинство руководителей (за исключением банковского сектора) не разделяет опасения профессионалов по вопросам защиты информации, считая это ненужной тратой финансовых ресурсов в наши неспокойные времена. А между тем, все больше и больше раздается тревожных сигналов в разных сегментах деятельности по управлению информацией. Все больше совершается неправомерных действий, все проще становится получить информацию для конкурентной борьбы, а мы все продолжаем уподобляться страусу, пряча в песок голову.
Цели ИБ в компании
Основная цель построения в компании подразделения по информационной безопасности (ИБ) – это предотвращение реализации возможных рисков, связанных с утечкой, потерей или порчей информации, основанное на понимании, формулировании и удовлетворении осознанных пожеланий бизнеса.
Обратите внимание на то, что основой всего является бизнес, и задачи подразделения ИБ исходят именно из потребностей бизнеса, а не высосаны из пальца. На наш взгляд, недостаточное внимание со стороны руководства компаний к блоку ИБ говорит о том, что не всегда они (руководители) могут четко сформулировать свои потребности в области ИБ и объяснить их своим сотрудникам. Обратимся к приведенному мной определению: «… основанное на понимании, формулировании и удовлетворении…». Объяснить руководству компании возможные риски, сформулировать задачи по их компенсации и обезопасить компанию (бизнес) – вот истинная задача руководителя подразделения ИБ.
Конечно, надо понимать, что сегодняшние компании сильно зависят от уровня развития у них информационных технологий, ИТ стали для многих конкурентным преимуществом и инструментом для выживания в сложные времена. Наши компании насквозь пронизаны оптикой, беспроводными сетями, компьютерами, принтерами, серверами и прочими необходимыми техническими девайсами и технологиями. Лавинообразно растет накопление информации в базах данных и таблицах Excel, скорости передачи данных неминуемо растет в геометрической прогрессии; без Skype, ICQ, FTP и электронной почты сотрудники уже не представляют своей работы, а мы, как руководители, не можем их контролировать. Мы уже понимаем, что информационная система компании — это не что иное, как кровеносная система нашего бизнеса. Так почему мы понимаем, что контролировать финансы необходимо, а контролировать информационную (кровеносную) систему не нужно или дорого? Исходя из вышесказанного, не вызывает сомнения тот факт, что подход к безопасности информационного пространства бизнеса должен быть комплексным.
ИБ как бизнес-процесс
Охраняя и контролируя информационное пространство компании, мы четко должны понимать, что деятельность по защите информации — это не только и не столько технические средства, сколько организационно-административные мероприятия. Это объясняется тем, что информация, находящаяся в компании, может быть голосовой, бумажной и электронной. Для создания эффективной системы, позволяющей защищать все виды информации, необходимо использовать комплексный подход. Т.е. в бизнес-процессы компании должны быть включены процессы, обеспечивающие ИБ, например:
· Организационные мероприятия. К ним можно отнести контроль доступа в помещения, ведение баз данных сотрудников, выделение ответственных за информационные ресурсы, контроль рабочего времени, установка правил работы с документами, архивами и т.п.
· Технические мероприятия. Защита периметра информационной системы, идентификация пользователей, ограничение прав, выделение специальных ИС, например ИСПДн, использование различных сниферов и блокираторов, дублирование и архивирование информации.
· Документирование. Думаю, что ни у кого не возникает вопрос, для чего это нужно. Создание описания информационных системы и ресурсов, формирование правил, регламентов и положений является неотъемлемой частью работы подразделения ИБ, ибо, если нет правил, никто ничего не нарушает и наказывать не за что. К чему это приводит, знают все. Дополнительно хочу заметить, что документирование – это тоже СИСТЕМА, и создавать ее нужно продуманно и связанно, в противном случае она эффективно работать не будет.
Говоря о системе ИБ компании или о системе документирования, не лишним будет напомнить, что такое система.
Система – это целое, созданное из частей и элементов целенаправленной деятельности и обладающее новыми свойствами, отсутствующими у элементов и частей, его образующих.
Признаками системы являются:
- единство главной цели для всех элементов;
- наличие связей между ними;
- целостность и единство элементов;
- наличие структуры и иерархичности;
- относительная самостоятельность и наличие управления этими элементами.
Надеемся, что вам не составит большого труда спроецировать тему нашей статьи на приведенные понятия, тогда много становится логичным, например то, что ИБ — это инструмент бизнеса, и мероприятия необходимо проектировать в комплексе, а не пытаться латать дыры, как у нас часто принято. Как можно понять, что мы латаем дыры, а не создаем систему? Рискнем предложить один из самых простых и эффективных приемов. Возьмите дерево процессов компании и наложите на него процессы по ИБ. Если они не прерываются и логично вписываются в структуру основных бизнес-процессов, значит вам удалось построить достойную систему ИБ.
Если с целями и задачами все более-менее понятно, то вопрос, кто всем этим должен заниматься, приводит руководство организаций в ступор. Возможно, это ИТ-директор, который знает информационные технологии, а может, «безопасник», умеющий грамотно выстроить систему контроля и определить ограничения. Это следующий момент, на который хочется обратить внимание.
Распределение обязанностей и полномочий. CIO против CSO (CISO)
Кто должен отвечать за формирование системы информационной безопасности компании? Кто обладает достаточными компетенциями в этой области? Что делать, если в компании нет выделенного подразделения по ИБ?
Для понимания логики ситуации примем за предположение, что мы рассматриваем компанию, в которой нет сформированного подразделения или выделенного сотрудника по информационной безопасности, а есть только блок ИТ и безопасность в чистом виде. Применяемые аббревиатуры: CIO (Chef Information Officer) – директор по ИТ, CSO (Chef Security Officer) — руководитель службы безопасности, CISO (Chef Information Security Officer) – руководитель подразделения по информационной безопасности.
Ответ напрашивается сам собой: назначим директора по ИТ. Правильно ли это? С точки зрения безопасности и здравой логики – неправильно. Всем известна шутка про козлов и капусту, или, как сказал М. Жванецкий, «что охраняю, то имею». Нельзя в одном лице иметь и исполнителя и контролера.
Остается вариант, когда руководить системой ИБ должен безопасник. Это уже ближе к истине, но, зная средний уровень технической подготовки CSO, закрадывается сомнение в реальности такого варианта. Конечно, каждая организация уникальна, и в ней можно выстроить свою уникальную систему, но, как правило, это всегда дорого и не всегда обосновано. На наш взгляд, истина лежит где-то посередине. Наверное, можно придумать какие-то матричные структуры, можно разделить полномочия и ответственность между CIO и CSO. А может, найти еще какой-нибудь вариант. Главное, что бы всегда сохранялся основной принцип построения систем контроля – контролировать и исполнять должны разные люди.
В нашей практике идеальным решением может быть именно грамотное разделение полномочий. CSO формирует и отвечает за контрольно-документарные мероприятия, а CIO — за техническую и технологическую их реализацию. Т.е. CSO является таким же заказчиком в отношении ИТ-сервисов, как кадровая, финансовая и другие службы компании, и эти сервисы должны удовлетворять тем требованиям, которые формирует перед CIO именно CSO.. Мы же понимаем, что заставлять директора по ИТ сочинять «Положение о контрольно-пропускном режиме», мягко говоря, некорректно, а оно тоже относится к системе ИБ компании. При такой раскладке мы можем добиться еще одного косвенного преимущества для ИТ-директора – прочных деловых отношений с безопасником, а для CIO это дорогого стоит.
В заключение хочется обратить внимание на некоторые косвенные задачи, которые CIO может решить совместно с CSO в рамках построения системы ИБ компании, и результатами которых бизнес будет с удовольствием пользоваться.
Косвенные задачи, решаемые ИБ
Мы приведем только небольшую часть косвенных задач, что бы был понятен ход наших мыслей. Итак, косвенные задачи, которые мы можем решить, используя ИБ как инструмент бизнеса:
· Контроль основных бизнес процессов предприятия, их мониторинг и анализ для целей собственника или топ-менеджеров, особенно если в компании нет блока экономической безопасности.
· Контроль договорной деятельности в части проверки контрагентов, что приводит к снижению рисков и повышает экономическую обоснованность.
· Контроль персонала в части связей, мигрирования конфиденциальной информации и использования рабочего времени для целей отдела персонала или топ-менеджеров компании.
· Контроль исполнительской дисциплины и многое другое.
Заканчивая этот материал, мы хотим выразить надежду, что вам удастся донести до своих коллег и руководителей правильный подход и необходимость построения безопасного информационного пространства вашего бизнеса, ибо «кто не управляет информацией – не управляет компанией».
Опубликовано 13.06.2010