98406 (Стратегия обеспечения Информационной Безопасности предприятия), страница 2

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.

Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.

Нарушения политики безопасности являются неизбежными

В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.

Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.

Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.

Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться

Даже если вам удалось разработать и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение ИБ – непрерывный процесс. Технологии стремительно изменяются, существующие системы устаревают, а многие процедуры со временем теряют эффективность. Политики безопасности должны непрерывно совершенствоваться для того, чтобы оставаться эффективными.

Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться [6].

2.2. Оценка риска

Перед принятием любых решений относительно стратегии информационной безопасности организации (как на длительный, так и на короткий период времени) мы должны оценить степени уникальных рисков.

Пока организация имеет информацию, представляющую ценность для вас и ваших конкурентов (а может, и просто «случайных» хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика это механизм контроля за существующими рисками и должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области вашей системы и должна использоваться для определения дальнейших целей и средств.

Оценка риска представляет собой комбинацию величин, зависящих от количества информационных ресурсов, имеющих определенную ценность для организации, и уязвимостей, пригодных для использования для получения доступа к этим ресурсам. Собственно, величина уникального риска для конкретной информации – отношение ценности этой информации к количеству способов, которыми данная информация может быть уязвима в структуре вашей корпоративной сети. Очевидно, что чем больше оказывается полученная величина, тем большие средства стоит направить вашей организации на «затыкание» этой дыры.

Конечно, это слишком упрощено и утрированно. Так, при разработке политики неизбежно возникнут вопросы, что некоторые ресурсы, пусть и имеющие для вас ценность, должны быть свободно доступны в Интернете, либо доступ к ним должны иметь и ваши коммерческие партнеры. Но, в целом, хоть и с некоторой условностью, применяется именно описанный подход. Политика, которая учитывает слишком много факторов, многие из которых абсолютно неактуальны, ничем не лучше политики, которая ошибочно не учитывает какого-то важного условия. Разработка политики безопасности является совместным делом руководства компании, которое должно точно определить ценность каждого информационного ресурса и выделяемые на безопасность средств, так и системных администраторов, которые должны правильно оценить существующую уязвимость выбранной информации.

После чего, согласно основным рискам политики, предписывается распределение средств, выделяемых на безопасность. Далее системные администраторы должны определить способы снижения уязвимости информационного ресурса и, основываясь на ценности этого ресурса, согласовать с руководством применяемые методы. Под методами подразумевается не только написание или приобретение и установка необходимых программ и оборудования, но и обучение персонала, разработка должностных инструкций и определение ответственности за их невыполнение [2].

2.3. Рекомендации по разработке и внедрению эффективных политик

Учет основных факторов, влияющих на эффективность ПБ, определяет успешность ее разработки и внедрения. Приведенные ниже рекомендации содержат основные принципы создания эффективных политик.

Минимизация влияния политики безопасности на производственный процесс

Внедрение ПБ практически всегда связано с созданием некоторых неудобств для сотрудников организации и снижением производительности бизнес процессов. (Однако правильная система мер ИБ повышает эффективность бизнес процессов организации за счет значительного повышения уровня ИБ, являющегося одним из основных показателей эффективности). Влияние мер ИБ на бизнес процессы необходимо минимизировать. В то же время не стоит стремиться сделать меры ИБ абсолютно прозрачными. Для того чтобы понять, какое влияние политика будет оказывать на работу организации, и избежать "узких мест", следует привлекать к разработке этого документа представителей бизнес подразделений, служб технической поддержки и всех, кого это непосредственно коснется.

ПБ – продукт коллективного творчества. Рекомендуется включать в состав рабочей группы следующих сотрудников организации:

• руководителя высшего звена;

• руководителя, ответственного для внедрения и контроля выполнения требований ПБ;

• сотрудника юридического департамента;

• сотрудника службы персонала;

• представителя бизнес пользователей;

• технического писателя;

• эксперта по разработке ПБ.

В состав рабочей группы может входить от 5 до 10 человек. Размер рабочей группы зависит от размера организации и широты проблемной области, охватываемой ПБ.

Непрерывность обучения

Обучение пользователей и администраторов информационных систем является важнейшим условием успешного внедрения ПБ. Только сознательное выполнение требований ПБ приводит к положительному результату. Обучение реализуется путем ознакомления всех пользователей с ПБ под роспись, публикации ПБ, рассылки пользователям информационных писем, проведения семинаров и презентаций, а также индивидуальной разъяснительной работы с нарушителями требований ПБ. В случае необходимости на нарушителей безопасности налагаются взыскания, предусмотренные ПБ и правилами внутреннего распорядка.

Пользователи информационных систем должны знать кого, в каких случаях и каким образом надо информировать о нарушениях ИБ. Однако это не должно выглядеть как доносительство. Контактная информация лиц, отвечающих за реагирование на инциденты, должна быть доступна любому пользователю.

Непрерывный контроль и реагирование на нарушения безопасности

Контроль выполнения правил ПБ может осуществляться путем проведения плановых проверок в рамках мероприятий по аудиту ИБ.

В организации должны быть предусмотрены меры по реагированию на нарушение правил ПБ. Эти меры должны предусматривать оповещение об инциденте, реагирование, процедуры восстановления, механизмы сбора доказательств, проведения расследования и привлечения нарушителя к ответственности. Система мер по реагированию на инциденты, должна быть скоординирована между ИТ-департаментом, службой безопасности и службой персонала.

Политики должны по возможности носить не рекомендательный, а обязательный характер. Ответственность за нарушение политики должна быть четко определена. За нарушение ПБ должны быть предусмотрены конкретные дисциплинарные, административные взыскания и материальная ответственность.

Постоянное совершенствование политик безопасности

ПБ не является набором раз и навсегда определенных прописных истин. Не следует пытаться путем внедрения ПБ решить сразу все проблемы ИБ. Политика является результатом согласованных решений, определяющих основные требования по обеспечению ИБ и отражающих существующий уровень понимания этой проблемы в организации. Для того чтобы оставаться эффективной ПБ должна периодически корректироваться. Должна быть определена ответственность за поддержание ПБ в актуальном состоянии и назначены интервалы ее пересмотра. Политика должна быть простой и понятной. Следует избегать усложнений, которые сделают политику неработоспособной. По этой же причине она не должна быть длинной. Иначе большинство пользователей не смогут дочитать ее до конца, а, если и дочитают, то не запомнят о чем в ней говорится.

Поддержка руководства организации

На этапе внедрения ПБ решающее значение имеет поддержка руководства организации. ПБ вводится в действие приказом руководителя организации и процесс ее внедрения должен находится у него на контроле. В ПБ должна быть явным образом прописана озабоченность руководства вопросами обеспечения ИБ. Со стороны координатора рабочей группы по разработке ПБ руководству организации должны быть разъяснены риски, возникающие в случае отсутствия ПБ, а предписываемые ПБ меры обеспечения ИБ должны быть экономически обоснованны [6].

2.4. Создание благоприятной среды

Мы пришли к выводу, что эффективность защитной политики пропорциональна поддержке, которую она получает в организации. Таким образом, критически важным условием для успеха в области защиты организации становится организация работы и создание в организации атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности. Чем крупнее организация, тем более важной становится поддержка сотрудников. Далее будет предложено несколько вещей, которые могут быть сделаны для гарантии полной поддержки ПБ руководством организации, что должно существенно увеличить эффективность политики.

Поддержка управления

Я уже упоминал об этом ранее, но готов подчеркнуть снова. Самое трудное, с чем мы можем столкнуться в процессе становления защитной политики – это убедить руководство нашей организации в необходимости компьютерной безопасности и вовлечь их в этот процесс, заставить быть причастными к созданию защитной политики (пока гром не грянет, мужик не перекрестится, т.е. в данном случае руководство денег не даст). Здесь невозможно предложить универсального метода, все в данном случае зависит от вашей убедительности и способности к ведению переговоров. Примером может послужить вопрос такого плана: Готов ли Бизнес существенно потратится на защиту информации о самом себе и на защиту сервиса, на котором основано управление компанией [7]? Может быть, помочь в качестве аргументов могут предпринятые вами тестовые проверки уязвимости, или даже демонстрация при руководстве уязвимости компьютерной защиты. В любом случае, без поддержки высокого руководства политика не может преуспеть, поэтому в случае отказа не стоит даже пытаться делать это на свой страх и риск – эта затея обречена на провал.

Организационная структура

Независимо от размеров организации, защитная политика должна всегда иметь владельца. В то время как права, обязанности и даже название должности могут меняться от организации к организации, его роль должна быть неизменна. Давайте, для примера, назовем этого человека «руководитель охраны» или «security officer». Это – ответственный руководитель, в обязанности которого входит наблюдать за созданием, распределением, и выполнением политики безопасности. В этом смысле «руководитель охраны» выполняет роль посредника между управлением и пользовательской массой. Очевидно, что этот человек должен подчиняться только высшему руководству компании – генеральному директору, президенту или совету директоров.

Поскольку «руководитель охраны» в конечном счете несет общую ответственность за информационную безопасность всей компании, для того чтобы иметь возможность отстаивать интересы информационной безопасности в ряде случаев он(она) даже может быть членом правления. Как правило, большинство маленьких или средних организаций не могут позволить себе отдельную должность «руководителя охраны», и в этом случае возможно совмещение должностей. Однако, независимо от размеров организации, роль «руководителя охраны» должна быть ясно назначена и его обязанности должны быть четко сформулированы.

Финансовая поддержка

Процесс создания системы безопасности всегда требовал и будет требовать инвестиций временных затрат, человеческих ресурсов и финансов. Без достаточного финансового обеспечения любое, даже самое правильное и перспективное усилие в данной области потерпит неудачу. Эта же истина относится и к созданию защитной политики.

В распределении фондов для создания политики мы еще раз видим ценность всесторонней оценки риска. При должном образом осуществленной оценке рисков мы должны получить четкие показатели различных рисков, которым подвергаются информационные ресурсы вашей организации, потенциальные финансовые потери, которые вы можете понести в каждом случае, возможный вред и последствия, и роль, которую политика может играть для смягчения этого риска и минимизации потерь. Эти показатели, вкупе с пониманием ценности ваших информационных ресурсов (которые также можно оценочно получить) должны обеспечить достаточно аргументов для финансовых инвестиций в безопасность.

Культура безопасности

Цепь всегда прочна настолько, насколько прочно в ней самое слабое звено, а самое слабое звено в системе безопасности - конечный пользователь. На любое ваше решение по безопасности всегда найдется какой-то деятель из сотрудников, который сумеет найти противодействие. Он может считать себя при этом чуть ли не гением компьютеров, не осознавая зачастую, какой вред он наносит своими действиями безопасности собственной организации. Если ваши пользователи не понимают ценности ваших информационных ресурсов, то мы можем, конечно, вести с ними войну, но она изначально обречена на провал. Вы должны создать культуру безопасности в вашей организации, чему прекрасно способствует имеющаяся политика безопасности. Далее приведены краткие стратегии, которые можно (и нужно) использовать:

Обучение пользователей – администраторы могут начать «внутреннюю рекламную кампанию», объясняющую ценность общей безопасности, риски, с которыми они сталкиваются, роль политики и обязанности индивидуальных пользователей.

Акцентирование внимания на менеджерах – эти руководители низшего звена обычно и устанавливают «правила игры» для своих подчиненных и наиболее неистово требуют выполнения предписанных вещей, в справедливость которых они лично верят. Если убедить их в потребности в безопасности, то считайте, что половина борьбы выиграна.

Поддерживать сотрудников – служащие, в большинстве своем, лояльны компании, в которой они работают. Имеет смысл быть честными со штатом сотрудников в вопросах безопасности и ее воздействии на благополучие организации. Это обычно помогает снизить время, необходимое персоналу для перестройки к новым реалиям работы. Один из способов состоит в том, чтобы ежедневно (еженедельно/ежемесячно) рассылать результаты оценок безопасности и ревизий. Надо быть абсолютно откровенными с персоналом обо всех случаях вирусных атак, взломов и других инцидентах безопасности.