Схема построения системы безопасности предприятия

 

На многих предприятиях политики безопасности уже существуют, но далеко не всегда они эффективны

Необходимость формализованной — то есть изложенной в письменном виде и утвержденной руководством — политики информационной безопасности в настоящее время осознается большинством предприятий. Рассмотрим различные аспекты формирования эффективных нормативных документов по обеспечению информационной безопасности.

 

Три причины формализации

 

Главной причиной появления политики безопасности обычно является требование наличия такого документа от регулятора — организации, определяющей правила работы предприятий данной отрасли. В этом случае отсутствие политики может повлечь репрессивные действия в отношении предприятия или даже полное прекращение его деятельности.

Кроме того, определенные требования (рекомендации) предъявляют отраслевые или общие, местные или международные стандарты. Обычно это выражается в виде замечаний внешних аудиторов, проводящих проверки деятельности предприятия. Отсутствие политики вызывает негативную оценку, которая в свою очередь влияет на публичные показатели предприятия — позиции в рейтинге, уровень надежности и т.д.

Еще одной причиной является внутреннее осознание руководством предприятия необходимости структурированного подхода к обеспечению определенного уровня безопасности. Обычно такое осознание наступает после внедрений ряда технических решений по безопасности, когда возникают проблемы управления такими решениями. Иногда сюда добавляются вопросы обеспечения безопасности персонала (Human Resources Security, куда входит как защита самих работников, так и защита от них), юридические аспекты и другие факторы, приводящие руководство предприятия к пониманию того, что обеспечение информационной безопасности выходит за рамки чисто технических мероприятий, проводимых ИТ-подразделением или другими специалистами.

Интересно, что, согласно исследованию по безопасности, проведенному компанией Deloitte в 2006 году, предприятия, которые имеют формализованные политики информационной безопасности, значительно реже подвергаются взлому. Это свидетельствует о том, что наличие политики является признаком зрелости предприятия в вопросах информационной безопасности. То, что предприятие внятно сформулировало свои принципы и подходы к обеспечению информационной безопасности означает, что в этом направлении была проделана серьезная работа.

 

Неэффективные политики

 

Само по себе наличие документа, озаглавленного «Политика информационной безопасности», не принесет существенной пользы предприятию, кроме, быть может, формального аргумента в споре, присутствует или отсутствует у него данная политика. Нас интересует, разумеется, в первую очередь эффективная политика безопасности.

Опыт показывает, что неэффективные политики безопасности можно разделить на хорошо сформулированные, но не практичные и на практичные, но плохо сформулированные.

Первая категория чаще всего встречается в случаях, когда специалисты по безопасности предприятия недолго думая берут готовую политику (скажем, из Internet) и, проведя минимальные изменения, утверждают ее для своего предприятия. Поскольку общие принципы безопасности у разных предприятий, даже различных отраслей, могут быть весьма схожи, такой подход достаточно широко распространен. Однако его использование может привести к проблемам, если от политики верхнего уровня понадобится спуститься к документам нижнего уровня — стандартам, процедурам, методикам и т.д. Поскольку логика, структура и идеи исходной политики были сформулированы для другого предприятия, возможно возникновение серьезных затруднений, даже противоречий в остальных документах.

Политики второй категории обычно появляются в случаях, когда возникает необходимость решить сиюминутные задачи. Например, сетевой администратор, устав бороться с попытками пользователей нарушать работу сети, в течение десяти минут набрасывает список из нескольких «можно» и «нельзя», называет его «Политикой» и убеждает руководство в необходимости его утверждения. Потом этот документ может годами использоваться на предприятии, создавая порой существенные проблемы, например при внедрении новых систем, и порождая огромное количество исключений для случаев, когда его нарушение допускается.

 

Создание эффективной политики

 

Как же разработать эффективную, практичную и хорошо сформулированную политику информационной безопасности, которая позволит предприятию не просто создать стройную систему нормативных документов, но и принесет определенные финансовые преимущества, например, сохранив инвестиции или предотвратив неэффективные вложения средств?