Создание политики ИБ и ее влияние на процесс управления безопасностью

Предположим, вам необходимо создать политику информационной безопасности (далее – ПИБ) с нуля либо существенно ее модернизировать. Вы устраиваетесь удобнее в рабочем кресле с кружечкой чая или кофе, открываете Word, настраиваетесь на работу и… Прежде всего, нам необходимо понять, что при создании ПИБ, безусловно, можно совершить ряд ошибок, которые повлекут за собой нарушение всех процессов управления ИБ (рис. 1).

Однако каждая компания индивидуальна, как и мы сами. И будет ли написанная вами ПИБ корректна для вашей компании с ее процессами, решать вам – как человеку, в этой компании работающему.

Планируем или импровизируем?

Существует два основополагающих стиля жизни, которые также применимы и для ПИБ – четкое планирование и постановка целей. Оба имеют свои недостатки и преимущества. Поясню на примере. Есть у меня коллега, который пропагандирует первый подход.

Он является "планировщиком" – строгим адептом планирования и учета рисков. У него есть глобальный план на ближайшие 100 лет, и в каждый момент времени он знает, где находится по отношению к своему плану.

Я же все больше отдаляюсь от подробного планирования. Как говорится, "знать бы направление". Вместо четких планов я предпочитаю ставить себе цели, для достижения которых в лучшем случае смогу сформулировать: шаг 1, шаг 2 и т.д. PROFIT. Для меня четкий план – это рамки, которые не позволяют достигнуть цели, т.к. план не может быть идеальным. А для того чтобы сделать его идеальным, мы должны обладать всей информацией мира, чтобы учесть все возможные риски. Разумеется, это невозможно. И мы приходим к тому, что начинаем бесконечно корректировать и дополнять планы, а не действовать.

Этим небольшим отступлением я хотел показать, что не бывает "неправильных убеждений". Каждое из них имеет право на жизнь, если приводит к успеху. Поэтому не стоит оглядываться на других, необходимо делать так, как вам подсказывает ваш разум и интуиция, ведь только вы знаете потребности своей компании. И только вам решать, будет ваша ПИБ обрисовывать основные направления деятельности по защите информации или же описывать каждый шаг в процессе управления ИБ.

Далее я углублюсь в тот подход создания ПИБ, который ближе лично мне.

С чего же начать?

Как правило, создание ПИБ начинается с постановки целей, которые должны быть достигнуты с помощью данного документа. И это логично, однако я предлагаю начать с другого свойства – с объема.

По роду своей деятельности я часто занимаюсь разработкой или совершенствованием различных нормативных документов, и разнообразные политики тут не исключение. Первый вопрос, который я задаю, когда речь заходит о разработке ПИБ, – вы видите политику объемным документом или страничек на 5–10? Ответ на это вопрос позволяет задать вектор работы. Есть сильно бюрократизированные, дотошные организации, которые ближе к "букве документа". И это совсем не плохо, просто такова их корпоративная культура. Зачастую к этому склонны крупные государственные корпорации и западные компании. Другим полюсом являются политики небольшого размера, близкие по духу и содержанию к декларациям.

Объем прямо коррелирует с вашими предпочтениями, целью ПИБ и целевой аудиторией. Я не сторонник идеи политики как документа, написанного для пользователей простым языком о защите информации. Основная цель ПИБ – установление фарватера (тренда) защиты информации, который станет базисом для всех остальных документов, в том числе рассказывающих доступным языком пользователям, почему необходимо защищать информацию (для этого хорошо подходит политика (регламент) по работе с конфиденциальной информацией или с корпоративными ресурсами). Таким образом, определяясь с размерами вашей политики, вы задаете направление своей работы.

Следующий шаг – определение целей. Количество целей и конкретные формулировки остаются на ваше усмотрение. Но, на мой взгляд, не следует впадать в излишнюю детализацию (например, "снижение рисков вирусного заражения" или "соответствие стандарту СТО БР ИББС" – лучше оставить для нижестоящих документов).

Один из пунктов должен прямо связывать ваш процесс управления ИБ с деятельностью остальной организации. Он должен отвечать на вопрос – зачем вы здесь (для руководства). Криптография и защита ПДн – это, безусловно, хорошо, но лишняя деталь. Если подходить ко множеству решаемых задач по ИБ, то цель может быть сформулирована как "минимизация материального и другого вида ущерба организации от эксплуатации информационных систем, рисков информационной безопасности и требований законодательства в области защиты информации".

Остальные цели должны описывать меры по установлению процесса управления ИБ и его контролирующие функции. Так, в 3–5 предложениях вы последовательно отвечаете на вопросы: что это, зачем, из чего состоит.

Следующий важный пункт – область действия политики. В идеале ПИБ должна охватывать всю организацию, дочерние предприятия, филиалы и подразделения. Если это по каким-то причинам невозможно, то в ПИБ необходимо предусмотреть раздел по контролю непротиворечивости ПИБ различных элементов организации.

Далее – содержание политики. Как я уже сказал, я являюсь сторонником ПИБ небольших размеров. Так можно быть уверенным, что ее прочитают. Если у вас не строго формалистская организация, то в политику необходимо включить принципы обеспечения ИБ. Однако дословное бездумное копирование принципов из международных стандартов (законность, комплексность, преемственность и т.д.) "убьет" ваш документ. Скорее всего, дальше его никто читать не будет.

Обязательно уделите внимание следующим принципам:

• непрерывность – для установления непрерывного контроля над защищаемыми объектами и их окружением;
• системность, что позволит охватить все сферы деятельности организации;
• своевременность – для получения гибкости в противодействии актуальным и потенциальным угрозам;
• контроль;
• экономическая целесообразность, которая позволит вам обосновывать достигнутые результаты или требуемые инвестиции.

Каждый из выбранных вами принципов должен внести за собой процесс, раскрывающий последовательность действий для реализации принципа. В политике для этого достаточно пары абзацев, а саму детализацию лучше вынести в нижестоящие политики или приложения.

В заключение политике необходимо уделить внимание собственно самому процессу управления информационной безопасностью. Здесь должен быть дан старт процессу, который будет описан в отдельном документе. Необходимо обозначить его главные этапы, например по Демингу – планирование, действие, контроль, совершенствование.

Это минимально необходимое содержание политики. Его можно бесконечно дополнять, например правовыми основаниями, рисками и угрозами, нарушителями, основными подсистемами системы защиты. Добавляйте то, что посчитаете нужным вашей компании.

В заключение я бы хотел вернуться к влиянию ПИБ на процесс управления ИБ.

Следуя моему практическому опыту, слишком детальные огромные политики затрудняют процесс управления ИБ, делая его негибким, уязвимым. Такие политики постоянно нуждаются в корректировке, а если она не производится – конкретно прописанные в политике действия накладывают рамки на динамично развивающуюся компанию, привносят неразбериху и материальные убытки.

Однако, повторюсь, все компании индивидуальны. Главное – иметь в итоге работающую ПИБ.