Казалось бы, внимание к проблемам информационной безопасности растет не по дням, а по часам. Разработаны и успешно внедряются международные стандарты, появились специализированные издания, проводятся конференции и семинары. А случаев утраты данных все больше. Парадокс? Уже очевидно: от эффективности созданной в компании системы информационной безопасности сегодня зависят не только ее конкурентные преимущества, но зачастую и владение самим бизнесом. Ведь недружественные поглощения очень часто начинаются именно с утечек информации, на основании которых планируется рейдерская операция. Вот почему это направление деятельности приобретает важнейшее значение для успеха и жизнеспособности любой коммерческой организации.
Наиболее распространенная проблема заключается в том что управление информационной безопасностью, как правило, происходит от случая к случаю. В большинстве компаний к построению системы информационной защиты приступают только после того, как «гром грянет» – произойдет утечка конфиденциальных сведений. Только после серьезного инцидента выделяются ресурсы на эти цели, спешно формируются рабочие комитеты, осуществляются другие мероприятия. Но проходит время, и эта проблема опять отходит на второй план.
И так до повторения «кризисной» ситуации и до нового всплеска активности. Очевидно, что такой подход проблемы не решает. Система информационной безопасности будет действовать эффективно, если она основывается на превентивных мерах, а не на реактивном подходе. Необходимо регулярно заниматься проблемами информационной защиты и навести порядок в этой сфере. По данным компании PricewaterhouseCoopers, в прошлом году только 22% компаний не испытали ни одного инцидента в сфере информационной безопасности; причем по сравнению с 2002 годом количество таких случаев уменьшилось практически в полтора раза. С одной стороны – это положительная тенденция. В реальности, однако, не все так безоблачно.
Дело том, что 40% организаций не знают точного количества случаев утечки сведений, которые произошли у них в прошлом году. Приведем десять рекомендаций, выполнение которых поможет за короткое время наладить устойчивый процесс управления информационной безопасностью (см. рис.). Разумеется, даже пройдя все десять шагов, вряд ли удастся построить «непреступную крепость» – ведь атакующий всегда в выигрыше. Однако наиболее уязвимые места вашей «цифровой цитадели» будут защищены.
1. Изучите стандарты в области информационной безопасности
В первую очередь следует изучить стандарты серии ISO 2700x. Они содержат вводную терминологию и дают представление об основных принципах и методах построения системы информационной защиты. Также желательно ознакомиться с предыдущим стандартом – BS 7799. В качестве первоочередных мероприятий, как правило, рекомендуется выработать политику или концепцию информационной безопасности. Однако, эти шаги – только начало пути. Ведь разработанную политику и одобренную концепцию нужно исполнять. А для этого необходимо организовать непрерывный процесс управления информационной безопасностью.
Большинство компаний, однако, ограничиваются формальным подходом и готовят ворох документов, которые не решают существующих проблем. В то же время, чтобы повысить уровень защищенности компании, необходимо выстроить процесс, включающий процедуры управления рисками, планирования, исполнения и контроля мероприятий по информационной безопасности. Если сделать этого не удастся, то система будет носить декларативный характер.
Наиболее эффективный подход к определению приоритетов в области защиты информации основан на оценке рисков. Для построения системы управления рисками в сфере IT-безопасности часто используется метод CRAMM (UK Government Risk Analysis and Management Method), который был разработан и принят в качестве государственного стандарта в Великобритании. Метод CRAMM широко используется во всем мире. Одним из его основных достоинств является возможность экономически обосновать расходы организации на управление информационной безопасностью.
2. Структурируйте информацию и определите уровни конфиденциальности
Структурировать информацию необходимо для того, чтобы была возможность определить объекты защиты. В большинстве случаев классификация информационных ресурсов строится по функциональному признаку. В соответствии с таким подходом следует назначить владельцев информационных ресурсов и определить уровни конфиденциальности. При этом не стоит излишне засекречивать информацию – в случае строгого ограничения доступа к необходимым сведениям сотрудники всегда найдут возможность обойти существующие запреты.
Показателем уровня конфиденциальности может служить экспертная оценка размера убытков в случае перехода конкретной информации к конкуренту. Занимаясь наведением порядка в информационном окружении компании целесообразность задуматься и о внедрении средств управления документооборотом. Проведение экспертной оценки критичности информации можно поручить руководителям подразделений. При этом следует руководствоваться следующим принципом – если информацию можно оставить общедоступной, то так и нужно поступить.
Стремление перевести большую часть информации в разряд конфиденциальной приводит к снижению эффективности компании, и даже может стать причиной нелепых ситуаций. Так, в одной компании «навели порядок» в обращении с информацией. В результате сотрудники, чтобы избежать длительной процедуры получения доступа к проектной документации, стали находить подобные материалы в Интернете, а затем использовали их в своей работе.
3. Отрегулируйте порядок доступа к материалам
Процедуру предоставления доступа к информации необходимо описать и закрепить регламентом, причем срок выполнения этой процедуры должен быть минимальным, поскольку от этого зависит, конкурентоспособность компании. В то же время излишнее упрощение данного порядка таит в себе другую опасность – появляется вероятность несанкционированного доступа к конфиденциальной информации. Во многих компаниях системы информационной безопасности строятся по принципу: «доступ запрещен».
Такой подход создает неудобства для сотрудников и может привести к снижению темпов развития компании, поскольку корпоративные знания перестают быть доступными для персонала. Вот почему необходимо найти «золотую середину» между ограничениями, связанными с информационной защитой, и свободой обмена информацией внутри и вне компании. Как правило, большое количество запретительных мер порождает способы обмена сведениями в обход защищенных каналов, что сводит к нулю все усилия по обеспечению защиты информации.
4. Обсуждайте вопросы информационной безопасности на совещаниях совета директоров
В соответствии со стандартами следует создать специальный комитет по информационной безопасности. Тем не менее на первом этапе достаточно регулярно включать вопросы информационной безопасности в повестку совещания совета директоров. На практике, однако, это правило очень часто не соблюдается, а обеспечение информационной защиты отдают на откуп IТ-специалистам. Делать этого не следует, так как только руководитель функционального подразделения знает все нюансы бизнес-процессов и особенности своих сотрудников.
Именно от действий руководителей подразделений в большинстве случаев зависит – реализуются или нет риски информационной безопасности. Дело в том, что сегодня основную опасность для организации представляют как раз собственные сотрудники, а не внешние хакеры. Поэтому в управлении информационной безопасностью должны участвовать все менеджеры компании, а регулярные обсуждения на совете директоров позволят обеспечить непрерывность этого процесса, а также обеспечат выделение требуемого бюджета.
5. Проведите экспертную оценку рисков информационной безопасности
Часто лица, ответственные за информационную защиту, осуществляют выбор приоритетных мероприятий на свое усмотрение. Более эффективным является риск-ориентированный подход, который подразумевает выявление и оценку рисков информационной безопасности, которые присущи компании. Результатом этой процедуры должен стать список всех потенциальных рисков. Правильным и более полным считается анализ рисков через описание бизнес-процессов, но если на это нет времени, то можно ограничиться экспертными оценками.
В качестве экспертов следует привлекать сотрудников разных подразделений, относящихся к различным уровням управленческой иерархии. Такой подход позволит обеспечить максимально возможную в данном случае полноту анализа рисков. В связи с тем, что последствия различных угроз неравноценны, недостаточно только идентифицировать риск. Необходимо также оценить величину угрозы и вероятность реализации риска, например, в виде прямых или косвенных убытков в денежном выражении. Поэтому после выявления рисков необходимо провести их оценку.
И для этой цели также следует привлекать внутренних экспертов. После анализа и суммирования оценок нужно определить точку отсечения, иначе говоря, выделить ту группу рисков, которые являются наиболее приоритетными, а остальные риски достаточно просто принять к сведению. И пусть приоритетных рисков окажется немного – главное, чтобы меры по их минимизации были обеспечены бюджетом и необходимыми ресурсами.
6. Составьте план мероприятий по повышению уровня защищенности
Планирование мероприятий по информационной безопасности необходимо для того, чтобы были определены сроки и составлен перечень работ, которые необходимы для предотвращения или минимизации ущерба в случае реализации риска. Это процедура позволяет определить, кто, где, когда, какими ресурсами и какие угрозы будет минимизировать. План мероприятий основывается на списке тех рисков, которые были признаны приоритетными, причем каждому риску должно соответствовать мероприятие по его минимизации.
Предпочтительно, чтобы одно мероприятие предназначалось для минимизации сразу нескольких рисков. Затем назначаются ответственные, определяются сроки, бюджеты, контрольные точки и т. д. Результатом процедуры планирования должен стать план-график работ по исключению или минимизации ущерба от реализованного риска. Однако недостаточно составить план – важно выполнить все предусмотренные мероприятия «точно в срок». Иначе вся предыдущая работа будет сведена к нулю.
Целью процесса управления информационной безопасностью является выполнение запланированных мероприятий по минимизации рисков, контроль качества полученных результатов и сроков их выполнения. Составной частью основного плана может быть план внедрения контрольных процедур в существующие бизнес-процессы компании. Эта мера повышает эффективность превентивной защиты, а в итоге – и уровень информационной безопасности в целом.
7. Определите группу риска среди сотрудников компании и запланируйте корректирующие мероприятия
В большинстве случаев основная защита выстраивается на «границе» организации и внешнего мира. Однако статистика свидетельствует, что основная часть нарушений в сфере информационной безопасности – около 70% – совершается сотрудниками компании, либо лицами, работавшими там прежде. Это значит, что защитные меры «по периметру» организации в большинстве случаев бесполезны, ведь основной источник опасности находится внутри самой компании. Вот почему внешние угрозы информационной безопасности уже не являются первоочередными для большинства компаний.
Внутренняя угроза – вот откуда теперь исходит главная опасность, с которой и нужно бороться. Нелояльность сотрудников часто становится причиной утечек информации и последующих скандалов. Поэтому основным методом борьбы с такими угрозами являются меры, повышающие лояльность персонала. Не секрет, что в России разница в доходах владельцев компаний и наемных сотрудников намного выше европейского уровня.
Следовательно, внедрение правильной системы мотивации менеджеров и сотрудников позволит избежать многих неприятностей, в том числе и в области информационной безопасности. Ведь даже самая надежная крепость сможет устоять только в случае, если защитники будут ее оборонять.
8. Обеспечьте учет нарушений информационной безопасности
Учет инцидентов обеспечивает статистический материал для налаживания обратной связи, которая необходима в процессе управления информационной безопасностью. И если в вашей компании о таких инцидентах ничего не известно, то вполне возможно, что просто отсутствует механизм их регистрации, хотя на самом деле конфиденциальная информация успешно «уходит» из компании. Регистрация нарушений информационной безопасности должна вестись на регулярной основе.
По сути дела, необходимо наладить учет всех произошедших инцидентов, что позволит оценить убытки, вызванные нарушениями информационной защиты. С целью стимулирования сотрудников неплохо внедрить систему премий за выявление нарушений информационной безопасности, а в качестве учетной системы на первых шагах можно использовать MS Excel.
Проще всего сразу создать табличку, где будут фиксироваться все произошедшие инциденты, причем в заполнении этой таблицы должен участвовать весь персонал компании. Наличие такой статистики за определенный период времени позволит оценить убытки, понесенные компанией в результате нарушения информационной безопасности, и эффективность мероприятий по ее обеспечению.
9. Организуйте процесс тестирования уровня информационной безопасности
Необходимо регулярно осуществлять тестирование текущего уровня информационной безопасности. Для выполнения этой работы можно привлекать внешние компании, которые помогут обнаружить уязвимые точки информационной защиты. Однако своими силами эту задачу можно решить даже более продуктивно. Под тестированием информационной безопасности понимается аудит правильности выполнения всех процедур по предотвращению рисков, их регистрации, предоставления доступа и т. д.
Такое тестирование позволит проверить результативность существующих превентивных контрольных процедур и наметить направления их совершенствования. Контрольные процедуры могут быть как сложными, так и очень простыми. Например, всякий документ, исходящий из компании, должен быть создан с участием как минимум двух человек, или доступ к материалам должны подтвердить два человека из разных функциональных подразделений и т. д.
10. Оцените эффективность системы управления информационной защитой
Если процесс управления информационной безопасностью налажен, осуществляется устойчиво и на регулярной основе, то можно приступить к анализу эффективности созданной системы. Сделать это можно простым способом – с помощью регулярной экспертной оценки ущерба от рисков и затрат на информационную безопасность. Как уже отмечалось, рекомендуется создать табличку, в которой отмечаются все инциденты, или даже базу убытков, в которую заносятся сведения обо всех случаях нарушения информационной безопасности.
На основании полученных данных можно корректировать экспертные оценки опасности рисков, что позволит повысить точность системы оценки рисков. Результаты работы сотрудников, отвечающих за информационную безопасность, следует оценивать по следующим показателям: ·
-
число зарегистрированных случаев нарушения информационной безопасности
-
оценка фактического ущерба, нанесенного нарушениями информационной безопасности
-
среднее время выполнения процедур, связанных с защитой информации
-
процент выполнения утвержденного плана мероприятий по информационной защите
-
соотношение экспертных оценок ущерба от рисков информационной безопасности и затрат на обеспечение информационной защиты
Внедрение процесса информационной безопасности сегодня стало насущной необходимостью для большинства российских компаний. Причем эта задача особенно актуальна для предприятий среднего и малого бизнеса, которым все это еще в новинку. Наибольшую сложность представляет обеспечение регулярного управления информационной безопасностью: мероприятия по защите информации должны носить превентивный, а не реактивный характер. Если же заниматься информационной защитой в ответ на реализацию рисков, то результативность такой системы будет невысока.
Андрей КОПТЕЛОВ,
директор Департамента развития и внедрения информационных технологий Блока развития компании IDS Scheer (Россия и страны СНГ)