Политика безопасности организации. Современный подход.

Корчагин ИгорьАвтор:
Корчагин Игорь,
руководитель группы обеспечения безопасности информации, компания ИВК


В настоящая время практически каждая организация, осознавшая необходимость реализации комплекса мероприятий по обеспечению информационной безопасности (ИБ) своих активов, имеет на вооружении утвержденный документ (набор документов), который объясняет основные цели и принципы обеспечения ИБ в данной организации, сформулированные на уровне её руководства. Указанный документ носит название политики ИБ. При этом стоит отметить, что ключевой ролью в разработке политики ИБ является именно руководство организации, так как в любом другом случае данная политика станет исключительно формальным документом, например, для демонстрации его при проверках. Существуют различные взгляды на содержательность данного документа, в особенности по причине разного толкования этого понятия в стандартах, но все они сходятся на том, что данный документ является неотъемлемой частью современного подхода по созданию системы менеджмента ИБ и должен определять чёткую позицию организации в решении вопросов информационной безопасности.

Технологии и способы обработки информации, используемые в организациях, имеют тенденцию часто и постоянно развиваться и модернизироваться (исключениям являются специальные автоматизированные системы). Это напрямую сказывается на обеспечении ИБ и требует постоянной оценки актуальности системы ИБ с учетом изменений инфраструктуры, а также появления новых угроз, уязвимостей и рисков. В соответствии с проводимыми мероприятиями периодически должен осуществляться пересмотр политики ИБ.

В последнее время одними из наиболее распространенных причин необходимости пересмотра политик ИБ являются изменяющиеся условия обработки информации как с точки зрения используемых технологий, так и со стороны изменяющейся законодательной базы.

В число наиболее популярных трендов последних лет в развитии ИТ-инфраструктур организаций попали такие направления как:

  • распространение использования мобильных устройств при работе с корпоративными ресурсами;
  • технология BYOD (bring your own device);
  • виртуализация;
  • «облачные» технологии (частные и публичные «облака»);
  • внедрение технологий M2M и т.д.

Внедрение на уровне критичных бизнес-процессов организации современных подходов приводит к обязательному пересмотру таких понятий как модель угроз и модель нарушителя, периметр защиты, пересмотру возможных уязвимостей системы, а также реализованных принципов, правил и процедур обеспечения ИБ.

Особенно стоит отметить постоянный рост числа целенаправленных атак (в том числе APT-атак), совершаемых кибер-преступниками. Такое положение дел требует обязательного рассмотрения в современной политике ИБ взаимодействия с внешними организациями, в случаях выявления фактов атак на ИТ-инфраструктуру, например, взаимодействие с правоохранительными органами.

Политика ИБ организации должна быть, в первую очередь основана на достижении баланса между удобством работы и необходимостью минимизации рисков ИБ, что при условиях внедрения вышеуказанных ИТ трендов является не самой простой задачей. Например, организация принимает решение о переносе своих всех бизнес-процессов на «облачные» технологии, предоставляемые провайдером, с связи с их более экономической эффективностью для неё. Такое решение сразу приведет к необходимости полного пересмотра существующей политики ИБ, так как в данном случае изменяются положения, связанные с:

  • соответствием законодательным требованиям;
  • ответственностью за выполнение политики ИБ;
  • ответственностью за нарушение политики ИБ;
  • порядок расследования инцидентов ИБ, а также возможность получения информации о данных инцидентах о провайдера услуг;
  • обеспечением непрерывности бизнеса;
  • мерами обеспечения ИБ.

Современная политика ИБ организации должна учитывать меры, ориентированные на снижение рисков ИБ, а также определения критериев их оценки. Данный документ может помочь при принятии решения о целесообразности и приемлемости с точки зрения ИБ изменения существующей информационных процессов обработки критичных ресурсов, в связи с возрастающими рисками. Именно политика ИБ может помочь избежать преждевременных и не обдуманных решений, которые могут повлиять на уровень ИБ организации в целом.

За последние несколько лет произошло много изменений в области нормативно-правового регулирования, касающегося вопросов обеспечения ИБ (персональных данных, государственных информационных ресурсов, проекты по критически важным объектам). В свою очередь данные изменения не могли не отразится в политиках ИБ верхнего уровня в части описания соответствия системы ИБ организации законодательным и нормативным требованиям, имеющим к ней отношение.

С учетом существующих темпов развития ИТ и их внедрения в организациях более оптимальным является разработка политики ИБ, состоящей из нескольких документов, а именно политики верхнего уровня, при чем на языке, максимально понятном всем сотрудникам организации, а также необходимых частных политик по использованию в организации тех или иных технологий. При таком подходе сама система управления ИБ становится более гибкой и не приводит к перезарузке избыточной информацией различных категорий пользователей.

Именно на уровне частных политик ИБ рекомендуется излагать взгляд организации на необходимые меры по защите информации при использовании различных технологий, например, мобильных устройство (в том числе BYOD), средств виртуализации, частных или публичных «облаков» и т.д. Стоит отметить, что при составлении таких документов помимо основополагающих критериев, а именно нормативных требований, актуальности угроз и экономической эффективности, необходимо учитывать возможность реализации обозначенных мер, а также возможность их контроля. В противном случае данная политика может опять перейти в статус формального документа.

Оцените материал:
Total votes: 97

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Атаманов Геннадий

Не смог пройти мимо.

1. Информационная безопасность активов?! 

Давайте глянем в словарь. Например, Словари и энциклопедии на Академике (http://jurisprudence.academic.ru), где черным по белому: активы предприятия (англ assets of enterprise) – имущество предприятия. Состоит из материальных, финансовых и нематериальных активов. К материальным активам предприятия относятся земля или право на ее использование; здания и сооружения производственного назначения; здания и сооружения непроизводственного назначения; административные, жилищные, детские, учебные, лечебные, оздоровительные и иные здания, помещения, находящиеся на балансе предприятия; ... и т.д., и т.п. Что получается? Информационная безопасность земли или права на её использование?! А может быть информационная безопасность оздоровительных и иных зданий?! В т.ч. детских и учебных?!

2. А кто такие «кибер-преступники»? Киборги, ставшие преступниками?

3. А какие Вы знаете риски ИБ? А чем отличаются риски ИБ от угроз ИБ? И где Вы видели, чтобы безопасность рисковала? Ведь «риски информационной безопасности», если читать по-русски, означает, что рискует «информационная безопасность».

И это в разделе «Ликбез по ИБ»!  

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.