Управление информационной безопасностью предприятий (часть 2)

Управление информационной безопасностью предприятий (часть 2)

Илья Сачков
Менеджер по информационной безопасности ОАО "АРКТЕЛ"
Sachkov@arctel.ru

Внедрение политики информационной безопасности.

Так как политика информационной безопасности будет касаться каждого сотрудника и, соответственно, каждого руководителя, то я рекомендую придерживаться позиции, что любой сотрудник может внести предложения насчет разработанного документа. В рабочей суете люди, которые разрабатывали документ, могли попросту забыть о вещах, которые на виду, или могли не предусмотреть особенности работы какого-либо отдела. Поэтому, возможно, что поступившие предложения окажутся весьма полезными.

Можно пойти путем информационных писем – т.е. все сотрудники должны быть извещены, что:

• разработан документ политики информационной безопасности;
• документ находится в общедоступном месте (например, на корпоративном портале);
• они могут задать любые вопросы и предложить поправки к документу;
• после определенной даты документ будет принят и объявлен обязательным для исполнения.

Таким образом, решится сразу несколько проблем. Сотрудники отдела информационной безопасности, возможно, получат предложения. Почему я говорю – "возможно"? Потому, что в компаниях, где политики информационной безопасности не было, ее введение у 90% персонала не вызовет реакции ни на стадии разработки, ни на стадии внедрения. Реакция наступает обычно тогда, когда какие-то положения политики в плане разграничения доступа коснутся работы и свободы сотрудника. Самое главное на данном этапе жестко следовать намеченному плану и политике, и параллельно с этим разработать программу оповещения/обучения, которая поможет сотрудникам понять, почему вводится определенные ограничения, которых не было раньше. Программа обучения в самом лучшем случае создает так называемое дополнение к корпоративному этикету. Нарушая политику безопасности, ты показываешь неуважение к компании, к ее информационным активам, а, следовательно, ко всем коллегам, а ну и естественно выговоры, объяснительные, а в серьезных случаях увольнения и угроза попасть под суд, благо российское законодательство в области информационных технологий постепенно развивается.

Чтобы политика информационной безопасности стала максимально эффективной и соответствовала международным стандартам, то необходимо разрабатывать ее с учетом как раз этих стандартов. Международные стандарты (ISO 17799-2005, ISO 27001 и т.д.) представляют собой сборник рекомендаций по развертыванию системы информационной безопасности. Рекомендации, включенные в стандарты, являются следствием многолетней работы в этой области. Рассмотрим, какие требования предъявляет стандарт ISO 17799-2005 к политике информационной безопасности:

• Нормативный документ, описывающий политику безопасности, должен быть утвержден руководством компании, опубликован и доведен до сведения сотрудников компании; Причем отдельно выделяется требование, в котором говорится, что документ должен быть доведен в простой и понятной форме;
• В нормативном документе, описывающем политику информационной безопасности, должны быть сформулированы принципы управления информационной безопасностью компании. В данном нормативном документе должны быть отражены следующие положения:

1. определение понятия информационной безопасности, ее основных действий, области действия и значения информационной безопасности как ключевого условия процессов обработки информации;
2. основные принципы управления информационной безопасностью с учетом стратегии ведения бизнеса в компании;
3. описание подходов к оценке рисков и управление рисками;
4. ответственность за обеспечение процесса управления информационной безопасностью, в том числе за информирование в случае возникновения инцидентов информационной безопасности;
5. ссылки на другие нормативные документы, более детально описывающие требования информационной безопасности (инструкции, регламенты, руководства)
6. краткое описание основных требований к информационной безопасности с учетом соответствия законодательству, требований к обучению сотрудников вопросам ИБ, требований непрерывности бизнеса и возможных последствий от нарушения информационной безопасности;

Как уже было сказано политика безопасности это живой документ, который должен постоянно обновляться, обсуждаться. Документ должен работать, а не присутствовать в компании для галочки. Посмотрим, что говорит стандарт о пересмотре политике безопасности:

• Политика информационной безопасности должна пересматриваться в случае внесения существенных изменений в структуру компании или же на регулярной основе в соответствии с утвержденным планом пересмотра;
• Необходимо назначить ответственного сотрудника за разработку, пересмотр и оценку существующей политики информационной безопасности.
• В ходе пересмотра следует оценить возможность улучшения положений политики информационной безопасности и процесса управления информационной безопасностью в соответствии с изменениями условий ведения бизнеса, законодательства, изменениями в организационной структуре или информационной системе компании;
• При пересмотре политики информационной безопасности должны учитываться результаты пересмотра принципов управления компанией в целом, также проводимого на регулярной основе;
• Пересмотренная политика информационной безопасности должна быть утверждена руководством компании;
• При пересмотре принципов управления компанией должно учитываться следующее:

1. предложения сотрудников и партнеров по совершенствованию политики информационной безопасности;
2. результаты независимого аудита;
3. изменение условий ведения бизнеса, законодательства, изменение в организационной структуре или информационной системе компании
4. существующие угрозы и уязвимости информационной системы;
5. отчеты об инцидентах в области информационной безопасности;
6. рекомендации органов государственной власти;

• Результаты пересмотра политики информационной безопасности должны содержать решения по совершенствованию подхода к управлению информационной безопасностью в компании, уточнению целей и требований информационной безопасности, повышению эффективности системы управления информационной безопасностью и уточнению сфер ответственности сотрудников за обеспечение информационной безопасности;

Следуя вышеизложенным рекомендациям, вы получите действительно стоящий документ, который станет фундаментом будущей системы управления информационной безопасностью в компании.