Поделиться
Построение системы информационной безопасности компании: программный и административный подходы
Юлия НикитинаSymantec
Сегодня все чаще и чаще компании начинают задумываться не только о программной поддержке безопасности собственных информационных активов, но и о создании политик безопасности, обнаруживая тем самым более углубленный подход к созданию системы безопасности. О том, что программные средства обеспечения информационной безопасности жизненно необходимы, можно долго не размышлять. Но для организаций, работающих в век компьютерных сетей и электронных коммуникаций, хорошо продуманные внутренние административные политики защиты информации, взаимосвязанные, осознанные и реализованные в масштабах всей компании, являются важным инструментом ведения бизнеса в современных условиях.
В отчете о тенденциях развития информационных технологий в 2002 г., выпущенном компанией Giga Information Group, прогнозируется, что руководители компаний все в большей степени будут проявлять непосредственный интерес к готовности системы безопасности к катастрофам, компьютерному терроризму и промышленному шпионажу.
Наличие полноценной политики безопасности имеет для компании огромное значение. Это также способствует повышению авторитета компании и улучшению ее репутации, а также росту доверия к ней основных заинтересованных сторон, что обеспечит компании стратегическое преимущество.
"Наряду с программной поддержкой безопасности Вашей информационной сети следует уделять внимание и административным мерам, которые могут явиться еще одним ильным звеном в создании действительно неуязвимой системы, - говорит Игорь Левин, глава Восточно-Европейского подразделения корпорации Symantec. - чем серьезнее компания относится ко всему, что касается информационной безопасности, чем многостороннее подход менеджмента к решению проблемы, тем вероятнее создание полноценной системы безопасности. А такой подход предполагает комплекс мер. Софт и административная политика как раз и могут стать таким комплексом."
Здесь представлен стандартный сценарий создания политики безопасности компании, который специалисты компании Symantec предлагают своим заказчикам.
В ходе создания политики безопасности необходимо осуществить следующие шаги:
Определить и оценить имеющиеся у компании информационные активы.
Какие из них необходимо защитить и как организовать защиту, не мешая нормальной работе компании?
Определить возможные угрозы.
Каковы источники потенциальных проблем, связанных с безопасностью?
Подумайте о том, какова вероятность нарушения безопасности и к каким последствиям это может привести?
Помните, что угроза может быть как внешней, так и внутренней. По статистике 80 % взломов производится "изнутри", людьми имеющими доступ к информационным активам. Опасности, источники которых находятся внутри компании, могут обойтись очень дорого, поскольку злоумышленник имеет более полный доступ к информации и возможность проникновения в хранилища секретных и важных данных. Внутренняя угроза может также заключаться в неправильном использовании сотрудниками доступа к Интернету, а также может быть вызвана отправкой и просмотром ими материалов, содержащих компьютерные вирусы, через Интернет.
Источниками внешних угроз, находящихся за пределами организации, могут быть вирусы, "черви", "троянские кони", атаки (по различным сценариям) со стороны хакеров, месть бывших сотрудников или промышленный шпионаж.
Оценить риск.
Возможно, это - самое важное звено разработки политики безопасности. Необходимо вычислить вероятность определенных событий и оценить, какие из этих событий способны нанести большой ущерб. Цена может оказаться выше, чем можно предположить - необходимо учесть потерю данных, раскрытие конфиденциальной информации, ответственность перед законом, нежелательное раскрытие источников информации, потерю доверия клиентов или инвесторов, а также затраты, связанные с восстановлением системы безопасности.
Распределить обязанности.
Выберите рабочую группу, которая поможет определить потенциальные опасности во всех областях деятельности компании. В идеальном варианте, к этой работе следует привлечь представителей всех отделов компании. Среди ключевых участников группы должны быть администратор сети, юрист, исполнительный директор, а также представители отдела кадров и отдела связей с общественностью.
Документация.
Рекомендуется создать политику, в которой указывается на связанные с ней документы: любые руководства и процедуры, стандарты, а также контракты сотрудников. В этих документах должна содержаться конкретная информация, связанная с вычислительными платформами, технологиями, обязанностями пользователей и структурой организации. Таким образом, если впоследствии будут вноситься какие-либо изменения, проще будет изменить эти документы, чем саму политику.
Обеспечение реализации в масштабе компании.
Какая бы политика ни была выбрана, в ней должны четко описываться обязанности по обеспечению безопасности и должно быть указано, кто отвечает за конкретные системы и данные. Может также потребоваться, чтобы все сотрудники подписали соответствующее соглашение, и если так, оно должно быть четко сформулировано.
Важными компонентом такого соглашения должно стать описание в нем процедуры, обеспечивающей выполнение требований и потенциальные последствия их невыполнения.
Сотрудники службы безопасности.
Назначьте сотрудников, которые будут напрямую ответственны за информационную безопасность. Убедитесь, что это не те же лица, которые отвечают за наблюдение за системой безопасности, за ее реализацию или проверку, чтобы избежать конфликта интересов.
Финансирование.
Можно только посоветовать: желательно, чтобы финансирование проводилось не по "остаточному" принципу и были выделены необходимые ресурсы для обеспечения политики безопасности, используемой в компании.
Если создана политика, которая обязует всех работников использовать антивирусные средства на своих персональных компьютерах, то это должно быть включено в бюджет.
Зачастую выгоднее приобрести сетевые решения, а не для каждого персонального компьютера.
При этом централизованное управление системой безопасности, которое предусмотрено в самых современных решениях экономит время и усилия ИТ специалистов и, в конечном счете, влияет положительно на производительность.
Важные свойства политики безопасности
Важными свойствами политики безопасности Вашей компании должны быть:
- Действительная возможность ее реализовать.
- Лаконичность и понятность.
- Обеспечение баланса между защитой и производительностью.
Доведение до сведения всех сотрудников.
После того как политика полностью утверждена, ее положения должны быть доведены до сведения всех сотрудников, поскольку, в конечном счете, каждый сотрудник несет ответственность за успешную реализацию этой политики.
Обновление политики безопасности.
Политики должны обновляться ежегодно (или, лучше, два раза в год), чтобы отражать текущие изменения в компании.
Общее и частное в политике безопасности.
Само собой разумеется, не может быть одинаковых политик безопасности, поскольку все компании различны и детальная проработка политики будет зависеть от конкретных требований каждой организации. Тем не менее, можно начать с построения общей структуры политики безопасности, а затем приспособить ее к конкретным требованиям, ограничениям финансирования и имеющейся инфраструктуре.
Полноценная политика информационной безопасности, являясь важным активом компании, стоит затраченного времени и средств, поскольку минимизирует риски связанные с утерей и кражей информации. В сочетании с комплексом программных средств защиты она помогает устранить многие информационные риски, влекущие за собой материальные убытки.
Короткая ссылка
