Управление информационной безопасностью в мире

Сергей Колосков,
CISA, эксперт по управлению информационной безопасностью

С каждым годом вопросам управления информационной безопасностью уделяется все больше внимания как со стороны ИТ, так и со стороны высшего руководства компаний. Последние исследования, проведенные компанией "Эрнст энд Янг", показали, что функция информационной безопасности становится все более важным элементом корпоративного управления. В настоящей статье предлагаем ознакомиться с основными результатами исследования и комментариями экспертов в области информационной безопасности из различных секторов экономики.

Основные результаты

В рамках исследования респонденты ответили на широкий круг вопросов. Анализ ответов приводит к следующим ключевым результатам исследования:

1.  Защита репутации и бренда становятся существенным движущим фактором для информационной безопасности.
2. На фоне экономического спада организации продолжают инвестировать в информационную безопасность.
3. Международные стандарты по информационной безопасности становятся общепринятыми и широко применяемыми.
4. Многие организации стараются достигать стратегического видения информационной безопасности.
5. Защита персональных данных является приоритетом, но реальных действий пока недостаточно.
6. Люди остаются слабым звеном в обеспечении информационной безопасности.
7. Растущие риски при взаимодействии с третьими сторонами пока недостаточно контролируются.
8. Вопросы непрерывности бизнеса помогают дальнейшему развитию информационной безопасности.
9. Многие организации неохотно отдают на аутсорсинг основные функции информационной безопасности.
10. Ряд организаций страхует риски информационной безопасности.

Методология исследования и портрет респондента

Исследование "Эрнст энд Янг", посвященное вопросам информационной безопасности, проходит ежегодно; опрос, проведенный в 2008 г., является уже одиннадцатым. В рамках исследования были опрошены свыше 1400 менеджеров, вовлеченных в управление  информационной  безопасностью, из более чем 50 стран мира. Опрос проводился как методом интервьюирования, так и с помощью заполнения анкеты на специализированном Интернет-сайте. Исследование охватило все основные индустрии бизнеса. Наибольшая часть респондентов - представители финансового сектора (31%), индустриальных (13%) и телекоммуникационных (8%) компаний. Кроме того, в исследовании участвовали представители энергетических компаний, сектора розничных продаж, нефтяной и химической отраслей, а также некоммерческих организаций.

Некоторые из областей исследования

Стратегия информационной безопасности

Одно из направлений исследования затрагивало вопросы стратегического управления информационной безопасностью и ее взаимосвязи с вопросами стратегического развития ИТ и бизнеса.

Полученные результаты показывают, что для многих организаций актуальной задачей является интеграция стратегии И Б с общей стратегией компании (рис. 1). При этом процесс интеграции должен быть двусторонним. С одной стороны, высшее руководство должно рассматривать информационную безопасность как важную составляющую, приносящую пользу компании. С другой стороны, подход менеджеров по ИБ к вопросам управления информационной безопасностью должен становиться более бизнес-ориентированным.

Анализ рисков информационной безопасности

Анализ рисков является широко распространенным инструментом менеджеров, помогающим им повышать качество принимаемых решений (рис. 2).


На сегодняшний день крайне редко встречаются менеджеры по ИБ, которые не знают или не используют механизмы управления рисками ИБ в ходе непосредственной работы. Многие организации, в первую очередь международные компании с развитым уровнем корпоративного управления, ввели у себя практику управления рисками на основе разработанных и внедренных процессов. Несмотря на общее повышение уровня зрелости функции ИБ во многих организациях использование формализованных подходов по управлению рисками ИБ недостаточно широко применяется.

Пример структуры документированной стратегии ИБ: "Политика информационной безопасности" -документ стратегического уровня, определяющий цели, задачи, принципы ИБ, перечень заинтересованных сторон, подходы к управлению рисками и стратегические инициативы. Объем документа - не более 5-6 страниц. Данный документ должен быть согласован со стратегией развития бизнеса, стратегией ИТ и одобрен на уровне правления или совета директоров. "Руководство по информационной безопасности" -документ, определяющий целевой уровень информационной безопасности и содержащий требования по основным направлениям обеспечения ИБ. Документ должен быть утвержден правлением организации. Объем документа - не менее 30 страниц. "План внедрения ИБ" -документ, являющийся "дорожной картой" внедрения проектов/инициатив по информационной безопасности. Документ должен быть утвержден правлением организации. "План внедрения ИБ", также как и "Руководство по И", должен учитывать положения ИТ-стратегии. Материал предоставлен Вадимом Аграновичем, ИТ-риск-мене-джером, КБ "БНП Париба Восток"

Границы управления информационной безопасностью

Границы функций информационной безопасности различны в зависимости от отрасли, размеров компании, локальной специфики и многих других факторов (рис. 3). Тем не менее результаты опроса показывают определенные тенденции в области практического применения мер ИБ.


Данные, обрабатываемые в информационных бизнес-системах, являются базой для принятия управленческих решений, формирования финансовой отчетности и содержат информацию, критичную по конфиденциальности, целостности и доступности. Поддержка эффективных бизнес-коммуникаций в значительной мере зависит от надежности технических решений, обеспечивающих голосовую связь, мобильную и удаленную работу сотрудников, электронное В2В-взаимодействие.

КОММЕНТАРИЙ ЭКСПЕРТА Вадим Агранович, ИТ-риск -менеджер, КБ "БНП Париба Восток" Вопросы стратегического управления информационной безопасностью из года в год приобретают всю большую актуальность.  Результаты исследования этого года впечатляют: более 70% организаций имеют стратегии ИБ. Это указывает на то, что высшее руководство начало воспринимать информационную безопасность как фактор, способствующий повышению эффективности и стабильности функционирования бизнеса. Опираясь на собственный опыт, могу сказать, что в России все чаще получают развитие стратегические инициативы, направленные на обеспечение непрерывности бизнеса и внедрение систем менеджмента И Б на основе международных стандартов. Что касается организаций, в которых пока нет стратегий информационной безопасности, можно рекомендовать подразделениям ИБ активнее предлагать бизнесу стратегические инициативы в области защиты информации. Особое внимание обращает на себя распределение ответственности за обеспечение непрерывности бизнеса: только в 11% организаций подразделение информационной безопасности отвечает за управление непрерывностью бизнеса. Вместе с тем многие специалисты в области ИБ считают обеспечение доступности информационных активов и бизнес-процессов одной из главных задач информационной безопасности. Полагаю, что в этом вопросе подразделения ИБ должны заручиться поддержкой высшего руководства и активно брать на себя ответственность за управление непрерывностью бизнеса (BCP/DRP). Организации по-прежнему уделяют повышенное внимание техническому аудиту и тестам на проникновение и недостаточно занимаются вопросами осведомленности пользователей в области безопасности информации. Эффективность реализации программ информирования пользователей зачастую превосходит эффективность внедрения дорогостоящих технических средств защиты информации. И этот факт необходимо учитывать в работе подразделений ИБ. Ну и, конечно, нельзя пройти мимо актуальной для России темы - реализации требований законодательства в области защиты персональных данных. Можно с уверенностью утверждать, что в ближайшие 1-2 года расходы на защиту персональных данных в России будут расти и составят значительную часть бюджетов на информационную безопасность. Допускаю, что в этом вопросе российские компании могут достигнуть показателей 20% и более. Однако точные цифры даст только практика. В целом, по результатам исследования, можно сказать, что отрасль информационной безопасности все в большей степени ориентируется на требования бизнеса и законодательства, активно использует методы управления рисками, и это, несомненно, - движение в правильном направлении.

Движущие факторы развития информационной безопасности

Развитие информационной безопасности в организациях обусловлено многими факторами; вместе с тем исследование показало, что основной движущий фактор обеспечения ИБ связан с защитой репутации и бренда (рис. 4).



По мнению организаций, риски, связанные с нанесением ущерба репутации и бренду, гораздо существеннее, чем риски, связанные с потерями от несоблюдения требований регуляторов, ведь именно хорошие репутация и бренд организации помогают достигать им долгосрочных целей. Защита репутации и бренда являются сильнейшим фактором развития функции информационной безопасности.

Управление непрерывностью бизнеса

Управление непрерывностью бизнеса - важная составляющая управления рисками организации.

В большинстве организаций ответственными за вопросы управления непрерывностью бизнеса являются менеджеры по информационным технологиям (рис. 5). На наш взгляд, управление непрерывностью бизнеса должно переходить в подразделения, более близкие к бизнесу, например, службу управления рисками, а ответственным за управление непрерывностью бизнеса должен быть представитель высшего руководства.

КОММЕНТАРИЙ ЭКСПЕРТА Евгений Климов, начальник отдела информационной безопасности УК "Металлоинвест" Как показал опрос, наиболее значимым последствием утраты, нарушения конфиденциальности или потери доступа к информации в организации является для большинства респондентов ущерб репутации или бренду. Однако для производственных предприятий потеря прямого дохода по-прежнему является более значимой, особенно если речь идет о рисках, связанных с системами, поддерживающими производственные процессы. Проведение аудита третьих сторон не играет в металлургической отрасли столь важную роль, как в финансовой или телекоммуникационной сфере. Объем конфиденциальной информации, передаваемый между партнерами, весьма ограничен, поэтому на текущий момент, на наш взгляд, достаточно подписанного соглашения о неразглашении информации, снижающего риски, связанные с юридическими аспектами.

Управление ИБ при взаимодействии с третьими сторонами

Одной из специфичных областей управления информационной безопасностью является обеспечение ИБ при взаимодействии с клиентами, поставщиками, другими партнерами.

Обеспечение информационной безопасности при взаимодействии с третьими сторонами в большей мере осуществляется организационными мерами, чем техническими (рис. 6). На наш взгляд, наиболее эффективный способ обеспечения безопасного взаимодействия с партнерами достигается через включение специфических требований в договоры (и другие документы, регламентирующие взаимодействие сторон), следование общепринятым стандартам в области ИБ и периодический аудит третьих сторон независимыми профессиональными организациями.

Затраты на соответствие законодательству и требованиям внешних регуляторов

Некоторым компаниям (8%) необходимы затраты на соответствие внешним требованиям в размере более 50% бюджета ИБ (рис. 7).

Распределение респондентов по уровням затрат на соответствие требованиям регуляторов в большей степени демонстрирует тенденции, существующие на североамериканском и западноевропейском рынках.

Дополнительные меры, направленные на соответствие требованиям регуляторов

Требования регуляторов по всему миру стимулируют рынок поставщиков продуктов и услуг в области информационной безопасности. Более 30% компаний передают функции ИБ на аутсорсинг под влиянием требований законодательства (рис. 8).

Тестирование защищенности корпоративных сетей

Технические средства занимают важное место в обеспечении информационной безопасности (рис. 9). Вместе с тем цели тестирований должны в большей мере учитывать человеческий фактор. Персонал - важный компонент системы информационной безопасности, который может как стать слабым звеном ИБ, так и успешно снижать существующие риски.

Заключение

По результатам анализа ответов респондентов можно сформулировать рекомендации, направленные на улучшение уровня управления информационной безопасностью. Безусловно, важность и приоритеты выполнения рекомендаций в значительной мере зависят от специфики и структуры бизнеса конкретной организации. Вместе с тем мы считаем, что многим организациям полезно учесть следующие рекомендации:

• Переносить информационную безопасность в область стратегического управления бизнесом.
• Более ясно обозначить стратегию информационной безопасности и применять интегрированный подход к управлению рисками.
• Применять на практике общепринятые международные стандарты и практики по информационной безопасности.
• Уделить особое внимание рискам, связанным с использованием персональных данных.
• Вовлечь представителей высшего руководства в управление непрерывностью бизнеса.
• Сфокусировать внимание на повышении эффективности обучающих программ и программ по повышению осведомленности пользователей по вопросам обеспечения информационной безопасности.
• Определить требования по информационной безопасности и способы их контроля при взаимодействии с третьими сторонами.
• Постоянно оценивать риски при использовании аутсорсинга, пытаться находить баланс между данными рисками и пользой как для организации, так и для ее собственников.
  

КОММЕНТАРИЙ ЭКСПЕРТА Сергей Адмиральский, директор по ИТ ООО "АДАМАС" столичный ювелирный завод" В исследовании "Управление информационной безопасностью в мире" рассмотрены интересные и актуальные темы. В организационной структуре дирекции по ИТ нашей компании нет выделенного отдела информационной безопасности, а связанные с ИБ обязанности распределены по зонам ответственности подразделений дирекции. Иными словами, мы рассматриваем вопросы информационной безопасности как органичную составную часть большинства ИТ-процессов. Стратегия в области ИБ представлена отдельным разделом в ИТ-стратегии. Думаю, такой подход характерен и для других организаций, не работающих с персональными данными. Анализ связанных с ИБ рисков выполняется в компании в качестве естественной и обязательной составляющей части процесса планирования деятельности. Ответственность за обеспечение непрерывности бизнеса несут многие подразделения компании, каждое - по своему профилю, и дирекция по ИТ не является исключением. Нарушение конфиденциальности в привычных для нашей отрасли условиях прозрачности деятельности может привести не столько к ущербу репутации или бренда, сколько к несанкционированному распространению корпоративных ноу-хау и потенциальному ухудшению конкурентной позиции. Зато утрата или потеря доступа к информации наверняка повлечет за собой прямой ущерб в виде потери дохода, а в некоторых случаях и нормативно-правовые санкции. Тестирование защищенности является в нашей компании обязательной частью обеспечения информационной безопасности, особое внимание уделяется периметру и удаленному доступу.