Распечатать

Управление информационной безопасностью – организационно-методические аспекты: теория и практика

Connect, №12, 2011 г. Дмитрий Соболев, директор департамента информационной безопасности «Энвижн Груп», выступил со статьей о важности внедрения менеджмента ИБ.

29 декабря 2011


Дмитрий Соболев, директор департамента информационной безопасности, «Энвижн Груп»

Уважаемые читатели, цель этой статьи в очередной раз привлечь внимание руководителей компаний к такой важной на взгляд автора теме как управление информационной безопасностью. Начнем мы с определения термина «управление», как говорил Декарт: «Точно определяйте значения слов, и вы избавите мир от половины заблуждений» (Энциклопедический словарь. 2009, ссылка в интернет «http://www.vedu.ru/BigEncDic/65292»). Это определение демонстрирует, что любое управление, содержит в себе элементы безопасности (сохранение, поддержание). А в преломлении к информационной безопасности оно очень точно определяет цель деятельности в указанной сфере, подчеркивая важность и органичность процессов управления информационной безопасностью в интересах достижения целей организации. 

Основными принципами управления, которые рассматриваются в теории управления, являются (у меня была компиляция с нескольких ресурсов в сети интернет, + часть принципов основателя научной теории управления г-на Тейлора, одного источника нет):

- научность, определяется необходимостью использования научно обоснованных методик, лучших практик, знаний различных смежных дисциплин в сочетании с личным опытом управленца; 

- целенаправленность, определяется наличием цели и волей к ее достижению, причем, чем более точно определена цель, тем лучше; 

- сочетание функциональной специализации и универсальности, определяется тем, что в каждой организации для управления тем или иным процессом обеспечения информационной безопасности должен использоваться с одной стороны некий общий универсальный метод, с другой стороны должна учитываться специфика как организации, так и собственно процесса;

- последовательность, определяется необходимостью реализовывать те или иные управляющие воздействия последовательно. Совершенно не разумно сначала определить те или иные меры, направленные на обеспечение информационной безопасности в организации, а потом подгонять под них результаты анализа рисков. Давайте вспомним классическую PDCA-модель, сомневаюсь, что у кого-то возникнет мысль нарушить предложенную в ней последовательность;

- непрерывность, мой самый любимый принцип, потому что о невыполнение этого принципа разбились мечты о результативной работе многих руководителей от информационной безопасности. Данный принцип определяется необходимостью постоянного внимания к вопросам информационной безопасности, анализа текущей ситуации и принятия своевременных управляющих воздействий.

Исследователи выделяют гораздо больше принципов, чем я указал и это оправдывается научными целями. Однако современному руководителю достаточно помнить об указанных пяти и он избежит многих ошибок.

Говоря об управлении, стоит упомянуть и о таком термине как менеджмент, тем более он будет использоваться в данной статье. Оба термина управление и менеджмент зачастую используют как синонимы, в то время как между ними имеются существенные различия.

Английское слово – «менеджмент» переводится как "управление" именно этот прямой перевод и приводит к путанице и упрощению толкования термина менеджмент. В Оксфордском словаре английского языка менеджменту дается более полная трактовка – «Менеджмент - это: способ, манера общения с людьми; власть и искусство управления; особого рода умелость и административные навыки, которым обычно обучают; орган управления - административная единица, без которой не может существовать ни одна организация». Следует отметить, что "менеджмент" обычно употребляется по отношению к людям, коллективам и организациям: менеджмент означает управление этими субъектами.

По мнению ряда исследователей (например, Короткова Э.М.) в теории управления, менеджмент - это целенаправленное воздействие, согласующее совместную деятельность, а управление - процесс выработки и осуществления управляющих воздействий. Таким образом, менеджмент является более уместным термином в контекста статьи и именно из этого мы, и будем исходить, применяя его в дальнейших рассуждениях.

Читателю может показаться, что руководителю не стоит напоминать про важность менеджмента информационной безопасностью, но практический опыт подсказывает автору, что это зачастую необходимо. Современные руководители отдают предпочтение менеджменту организациями через призму финансовых показателей, забывая, что многие задачи, стоящие перед бизнесом с помощью подобных методов не решить. Очень важно, чтобы элементы системы менеджмента информационной безопасностью присутствовали в организации, персонал знал и выполнял свои роли и обязанности, а менеджмент организации понимал в каком направлении двигаться дальше и прилагал непрерывные усилия для своевременных и последовательных управляющих воздействий.

Понимая важность менеджмента для достижения цели обеспечения информационной безопасности, хотелось бы оценить насколько современные законодатели, и регуляторы разделяют это утверждение и как их позиция отражается в текущем состоянии организации работ по обеспечению информационной безопасности. Имеется ли в федеральных законах, подзаконных актах, нормативных документах регуляторов требования по организации менеджмента информационной безопасностью.

Если внимательно посмотреть на действующие законы, то окажется, что явные требования к методам и способам менеджмента информационной безопасностью отсутствуют. Однако не явные указания на необходимость организации системы менеджмента информационной безопасности все же есть. Например, Федеральный закон № 98-ФЗ «О коммерческой тайне» определяет порядок введения на предприятии режима коммерческая тайна, который не мыслим без наличия системы менеджмента информационной безопасности. Руководство организации должно определить перечень информации, составляющей коммерческую тайну, разработать и реализовать мероприятия по ограничению доступа к этой информации, учитывать лиц, получивших доступ к информации, составляющей коммерческую тайну, регулировать отношения по использованию информации, составляющей коммерческую тайну и т.д. Указанный Федеральный закон определяет функции менеджмента, без которых режим коммерческой тайны не может считаться легитимным с правовой точки зрения. Последняя редакция федерального закона № 152-ФЗ «О персональных данных» также определяет меры – функции менеджмента, которые, по мнению законодателя, будут способствовать защите персональных данных (ПДн). К ним относятся:

- назначение ответственного лица за организацию обработки персональных данных;

- издание, документов, определяющих политику оператора ПДн в отношении обработки персональных данных;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с законодательством РФ;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям законодательства, внутренних нормативных актов;

- оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения порядка обработки ПДн. и т.д.

В Доктрине информационной безопасности Российской Федерации очень подробно описывается методология менеджмента информационной безопасностью. Несмотря на то, что этот документ не пересматривался вот уже 11 лет и скорее всего устарел, руководителю следует внимательно с ним ознакомиться, т.к. из него можно почерпнуть много полезного и творчески использовать в собственной деятельности. Если же проанализировать подзаконные актынапример, руководящие документы ФСТЭК, такие как «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного», «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей», «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий Часть 1, Часть 2, Часть3»), то окажется, что они в основном оперируют конкретными мерами по защите информации с использованием технических средств.

В результате складывается следующая картина:

- в законодательстве имеют место только неявные указания на организацию результативной системы менеджмента информационной безопасности;

- в подзаконных актах присутствует явный перекос в сторону реализации требований по обеспечению информационной безопасности с помощью технических средств (использование сертифицированных средств защиты, аттестация, как венец деятельности по обеспечению информационной безопасности).

Получается, что государство , в лице регуляторов, не стимулирует развитие систем менеджмента информационной безопасности, а факт доступности международных практик и собственно успешный опыт реализации систем менеджмента информационной безопасности, не могут обеспечить приоритетное развитие направлению менеджмента информационной безопасности как наиболее перспективному и результативному.

В настоящее время мы является свидетелями того, как ситуация начинает меняться и причиной тому служит бурное эволюционное развитие информационных технологий. Такие тенденции развития информационных технологий как: виртуализация; бизнес-ориентированность; аутсорсинг; мобильность приложений; глубокая интеграция механизмов информационной безопасности в технические средства и средства связи приводят к изменению в подходах к обеспечению информационной безопасности.

Действительно, если раньше информационные системы были сравнительно простыми, им не было свойственно столь быстрое изменение в соответствии с требованиями бизнеса. Рабочие места были стационарными, подключение к внешним сетям связи воспринималось как значительное нарушение требований информационной безопасности. То сейчас, когда информационные системы характеризуются такими свойствами как высокоскоростная обработка больших объемов информации, использование элементов искусственного интеллекта, мобильность устройств связи в частности и бизнеса в целом, отсутствие четких границ между информационной системой и сетями общего доступа, обеспечить требуемый уровень информационной безопасности без результативной системы менеджмента информационной безопасности не представляется возможным. Современная система менеджмента информационной безопасности характеризуется использованием процессного подхода к обеспечению информационной безопасности основанном на риск-ориентированной парадигме, позволяющей своевременно выявлять актуальные угрозы и риски информационной безопасности, воздействовать на них и, самое главное, оценивать результативность таких воздействий.

Нисколько не умаляя значение существующей системы сертификации средств защиты информации в интересах обеспечения безопасности государства и общества (но очень рассчитывая на ее совершенствование), в рамках обсуждения темы менеджмента информационной безопасности хочется поднять вопрос, а какой прок от средства защиты информации, которое установлено и забыто службой эксплуатации. Для чего необходимо сертифицированное средство защиты, если никто не следит за обновлениями его программного обеспечения и настроек, не проводит аудит соответствия политикам компании, не анализирует лог-файлы и не проводит регулярный анализ рисков, связанных с областью его использования. Для меня ответ очевиден. Установив пусть даже и самое лучшее (самое сертифицированное) средство защиты информации и при этом, не наладив процессы управления им, обновления компонентов, реагирования на его работу и оценку результативности его работы, потребитель теряет все плюсы от его использования. Подобное программно-техническое средство превращается из инструмента обеспечения информационной безопасности в устройство, усложняющее информационные процессы, а что самое неприятное в этой ситуации, еще и создающее эффект ложной безопасности.

Что же делать руководителю? Для себя ответ на этот вопрос я нашел несколько лет назад и смог убедиться в его правильности неоднократно. Считаю, что необходимо использовать в своей работе элементы системы менеджмента информационной безопасности. Не стоит замахиваться сразу на полноценную систему, основанную на рекомендациях ISO27001, ISM3 или иного другого стандарта или консорциума. Полное следование подобным практикам трудоемкий процесс, требующий как определенного уровня зрелости компании, так и значительных изменений во многих бизнес-процессах. Начав такой проект не вовремя, Вы рискуете провалить его. Гораздо правильней определить те процессы обеспечения информационной безопасности, которые наиболее востребованы в компании или организации, внедрение которых сделает вашу деятельность более результативной. Начните с себя, ставьте достижимые задачи по обеспечению информационной безопасности, контролируйте результат, используйте 3-5 показателей результативности своей деятельности, которые вы можете измерить и следить за их изменением во времени. Умело распределяйте время, делегируйте часть обязанностей по обеспечению информационной безопасности в профильные подразделения компании, например, передайте эксплуатацию средств защиты информации в подразделение ответственное за информационные технологии, оставив за собой только функции контроля, аудита, формирования требований и пользования средств обеспечения информационной безопасности, установите отношения с подразделением, которое управляет рисками в организации, не обойдите своим вниманием юристов и подразделения управления персоналом. При этом очень важно четко контролировать выполнение требований по информационной безопасности посредством проведения внутренних аудитов.

Хорошей практикой является автоматизация процессов менеджмента информационной безопасности. Самое простое - автоматизация управления задачами. Из множества решений на рынке выберите то, которое вам лучше подойдет. Ставя задачи, правильно формулируйте цель, сроки и главное контролируйте результат их выполнения. Делайте это постоянно. Следом, с помощью подразделения ответственного за информационные технологии, автоматизируйте процесс управления информационными активами. Затем, накопив практический опыт, автоматизируйте управление доступом, рисками, инцидентами и т.д. В процессе внедрения каждого нового инструмента вы будете наблюдать реальное улучшение состояния информационной безопасности.

Важным аспектом данной деятельности должна стать организация и документирование процессов обеспечения информационной безопасности. Многие специалисты в области ИБ недолюбливают разработку нормативных документов, но это очень важный и значимый момент. Задокументированные процедуры помогут решить многие проблемы, при условии использования маленьких хитростей:

- нельзя делать документы ради документов, следует документировать значимые процессы обеспечения информационной безопасности, определять принципы и требования обеспечения ИБ;

- документы не должны стать демонстрацией глубоких академических знаний. Автору приходилось сталкиваться с фолиантами, которые назывались политиками и излагали теоретический курс по информационной безопасности на 70 страницах. Такие документы бесполезны; .

- документ должен быть лаконичным, небольшим по объему и понятным простому исполнителю. Помните, от качества документа зависит то, как его будут исполнять;

- документы должны использовать ролевую модель выполнения тех или иных требований и реализации функций;

- старайтесь транслировать конкретные требования по информационной безопасности в документы, регламентирующие бизнес-процессы компании.

В качестве заключения хотелось бы использовать древнюю китайскую пословицу «дорога в тысячу шагов начинается с первого шага». Я очень рассчитываю, что эта статья даст повод задуматься над тем, насколько результативно на сегодняшний день управление информационной безопасностью в вашей организации.