Особенности разработки политик безопасности в России

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому решение вопроса о разработке политики информационной безопасности на современном предприятии связано с проблемой выбора критериев и показателей защищенности, а также эффективности корпоративной системы защиты информации. Вследствие этого в дополнение к требованиям и рекомендациям стандартов, Конституции и федеральным законам, руководящим документам Гостехкомиссии (ФСТЭК) России приходится использовать ряд международных рекомендаций. В том числе адаптировать к отечественным условиям и применять на практике методики международных стандартов, а также использовать методики управления информационными рисками в совокупности с оценками экономической эффективности инвестиций в обеспечение защиты информации предприятия.

Современные методики управления рисками позволяют в рамках политик безопасности отечественных компаний поставить и решить ряд задач перспективного стратегического развития:

· количественно оценить текущий уровень информационной безопасности предприятии;

· разработать политику безопасности и планы совершенствования корпоративной системы защиты информации с целью достижения приемлемого уровня защищенности информационных активов компании.

Для этого необходимо:

· обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

· выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

· определить функциональные отношения и зоны ответственности при взаимодействии подразделений и должностных лиц по обеспечению информационной безопасности компании, создать необходимый пакет организационно-распорядительной документации;

· разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

· обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядителъной документации, модификацией технологических процессов и модернизацией технических средств защиты.

Решение названных задач политик безопасности открывает новые широкие возможности перед должностными лицами разного уровня.

Руководителям верхнего звена это поможет объективно и независимо оценить текущей уровень информационной безопасности компании, обеспечить формирование единой стратегии безопасности, рассчитать, согласовать и обосновать затраты на защиту компании. На основе полученной оценки начальники отделов и служб смогут выработать и обосновать необходимые организационные меры (состав и структуру службы информационной безопасности, положение о коммерческой тайне, пакет должностных инструкций и инструкции по действиям в нештатных ситуациях).

Менеджеры среднего звена смогут обоснованно выбрать средства защиты информации, а также адаптировать и использовать в своей работе количественные показатели оценки информационной безопасности, методики оценки и управления безопасностью с привязкой к экономической эффективности компании.

Практические рекомендации по нейтрализации и локализации выявленных уязвимостей системы, полученные в результате аналитических исследований, помогут в работе над проблемами информационной безопасности на разных уровнях и, что особенно важно, помогут определить основные зоны ответственности, в том числе материальной, за ненадлежащее использование информационных активов компании. При определении масштабов материальной ответственности за ущерб, причиненный работодателю, в том числе связанный с разглашением коммерческой тайны, следует руководствоваться положениями Трудового кодекса РФ.

В соответствии с Федеральным законом «Об информации, информатизации и защите информации» целями защиты информации являются в том числе: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.

Поэтому главной целью политик безопасности отечественных компаний является обеспечение устойчивого функционирования предприятия: предотвращение угроз его безопасности, защита законных интересов владельца информации от противоправных посягательств, в том числе уголовно наказуемых деяний в рассматриваемой сфере отношений, предусмотренных Уголовным кодексом РФ, обеспечение нормальной производственной деятельности всех подразделений объекта. Другая задача политик безопасности сводится к повышению качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Для этого необходимо:

· отнести информацию к категории ограниченного доступа (коммерческой тайне);

· прогнозировать и своевременно выявлять угрозы безопасности информационным ресурсам, причины и условия, способствующие нанесению финансового, материального и морального ущерба, нарушению нормального функционирования и развития ресурсов;

· создать условия функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

· создать механизм и условия оперативного реагирования на угрозы информационной безопасности и проявления негативных тенденций в функционировании автоматизированной системы, а также пресечения посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

· создать условия для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц и тем самым ослабить негативное влияние последствий нарушения информационной безопасности.

Для создания эффективных политик безопасности отечественных компаний предлагается первоначально провести анализ рисков в области информационной безопасности. Затем определить оптимальный уровень риска для предприятия на основе заданного критерия. Политику безопасности и соответствующую корпоративную систему защиты информации предстоит построить таким образом, чтобы достичь заданного уровня риска.

Важно помнить, что прежде чем внедрять какие-либо решения по защите информации, необходимо разработать политики безопасности, адекватные целям и задачам современного предприятия. В частности, политики безопасности должны описывать порядок предоставления и использования прав доступа пользователей, а также требования отчетности пользователей за свои действия в вопросах безопасности. Система информационной безопасности окажется эффективной, если она будет надежно поддерживать выполнение правил политик безопасности, и наоборот. Этапы построения требуемых политик безопасности – это внесение в описание объекта автоматизации структуры ценностей, проведение анализа риска, определение правил для любого процесса пользования данным видом доступа к ресурсам объекта автоматизации. При этом политики безопасности желательно оформить в виде отдельных документов и утвердить у руководства компании.

 

Аудит безопасности корпоративных систем Интенет/Интранет

Понятие аудита безопасности

Понятие аудит информационной безопасности компании появилось сравнительно недавно. Примерно с 1995 года в ряде высокотехнологичных стран мира, главным образом в США, Великобритании, Германии и Канаде, проводятся ежегодные слушания и совещания специально созданных комитетов и комиссий по вопросам аудита информационной безопасности корпоративных систем. Подготовлено более десятка различных стандартов и спецификаций, посвященных аудиту информационной безопасности, среди которых наибольшую известность приобрели международные стандарты ISO 17799 (BS 7799), BSI и COBIT.

В настоящее время аудит информационной безопасности корпоративных систем Интернет/Интранет представляет собой одно из наиболее актуальных и динамично развивающихся направлений стратегического и оперативного менеджмента в области безопасности корпоративных систем Интернет/Интранет.

Основная задача аудита безопасности – объективно оценить текущее состояние информационной безопасности компании, а также ее адекватность поставленным целям и задачам бизнеса с целью увеличения эффективности и рентабельности экономической деятельности компании.

Аудит информационной безопасности корпоративной системы Интернет/Интранет – это системный процесс получения объективных качественных и количественных оценок о текущем состоянии информационной безопасности компании в соответствии с определенными критериями и показателями безопасности.

В настоящее время возрос объем конфиденциальных данных, обрабатываемых в корпоративной информационной системе Интернет/Интранет. В связи с этим актуальность аудита информационной безопасности резко также возрастает. Можно выделить две основные причины роста уязвимости корпоративных систем Интернет/Интранет.

Во-первых, повысилась уязвимость собственно корпоративных информационных систем за счет обоснованного усложнения аппаратно-программных элементов этих систем, увеличения структурной и функциональной сложности системного и прикладного программного обеспечения, применения новых технологий обработки, передачи и хранения данных.

Во-вторых, расширился спектр угроз корпоративным информационным системам из-за передачи информации по открытым каналам сетей общего назначения, «информационных войн и электронных диверсий» конкурирующих организаций, активного промышленного шпионажа с привлечением профессионалов в области IT-security и пр.

Есть два варианта построения системы информационной безопасности:

· полная замена системы корпоративной защиты информации, требующая больших капиталовложений;

· модернизация существующих систем безопасности. Этот вариант является наименее затратным, но несет проблемы совместимости старых, оставляемых из имеющихся аппаратно-программных средств безопасности, и новых элементов системы защиты информации; обеспечения централизованного управления разнородными средствами обеспечения безопасности.

Существенной причиной необходимости проведения аудита безопасности является то, что при модернизации и внедрении новых технологий защиты информации их потенциал полностью не реализуется. Аудит позволяет:

· оценить текущую безопасность функционирования корпоративной информационной системы;

· оценить и прогнозировать риски;

· управлять влиянием рисков на бизнес-процессы компании;

· обоснованно подойти к вопросу обеспечения безопасности ее информационных активов (стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных).

Важно то, что аудит информационной безопасности ориентирован как на специалистов в области безопасности корпоративных систем Интернет/Интранет, так и на специалистов в области менеджмента. Такой подход устраняет существующее недопонимание специалистов в области информационной безопасности ТОП - менеджерами компании. В данном случае они объединяются в единую команду, ориентированную на повышение экономической эффективности и рентабельности бизнес-деятельности компании.

В настоящее время многие поставщики средств защиты информации декларируют поставку полного, законченного решения в области безопасности корпоративных систем Интернет/Интранет. Однако, в лучшем случае все сводится к проектированию и поставке соответствующего оборудования и программного обеспечения. При этом фактически не создается корпоративная система безопасности. Для построения такой системы необходимо ответить на следующие вопросы:

· соответствует ли корпоративная система информационной безопасности целям и задачам бизнеса компаний;

· как контролировать реализацию и выполнение политики безопасности в компании;

· когда необходимо провести модернизацию системы безопасности; как обосновать необходимость модернизации и затрат;

· как быстро окупятся инвестиции в корпоративную систему безопасности;

· насколько правильно и корректно сконфигурированы и настроены штатные средства обеспечения информационной безопасности компании;

· как убедиться в том, что существующие в компании средства защиты – межсетевые экраны (firewalls), системы обнаружения вторжений (IDS), антивирусные шлюзы, VPN-шлюзы – эффективно справляются со своими задачами;

· как решаются вопросы обеспечения конфиденциальности, доступности и целостности;

· есть ли необходимость постоянно обучать сотрудников службы информационной безопасности компании, какие бюджетные средства для этого нужны;

· как управлять информационными рисками компании, какие инструментальные средства для этого необходимо задействовать;

· удовлетворяет ли организация информационной безопасности компании требованиям международных стандартов оценки и управления безопасностью, например ISO 15408, ISO 17799 (BS 7799).

Только объективный и независимый аудит безопасности корпоративной системы Интернет/Интранет позволит получить ответы на поставленные вопросы. Такой аудит, который позволит комплексно проверить все основные уровни обеспечения информационной безопасности компании: нормативно-правовой, организационный, технологический и аппаратно-программный.