БИЗНЕС-СЕТЬ KINETICS CRM ERP ITSM
        
ЧТО ТАКОЕ ITSM? НОВОСТИ АНАЛИТИКА СИСТЕМЫ АУТСОРСИНГ IT ПОСТАВЩИКИ  
     ITSM (IT Service Management, управление ИТ-услугами) — сервисный процессный подход к управлению и организации ИТ-услуг, направленный на удовлетворение потребностей бизнеса.

СТАТЬИ
МЕТОДОЛОГИИ ITSM
IT ASSET MANAGEMENT
ВИДЕОМАТЕРИАЛЫ
ПРАКТИКА ВНЕДРЕНИЯ
РЕЙТИНГИ
РЕЙТИНГ КОМПАНИЙ
ОБЗОРЫ РЫНКА
МНЕНИЯ ЭКСПЕРТОВ


Зарубежные и отечественные системы по автоматизации сервисных служб, в том числе с поддержкой ITIL


   
ЧТО ТАКОЕ ITSM и ITIL?
ITSM (сокращение от IT Service Management) - это концепция управления IТ инфраструктурой компании, сфокусированная на предоставлении услуг и ориентированная на бизнес-потребителя этих сервисов. >>>
ITIL (IT Infrastructure Library) - это обобщение лучшего международного опыта в области организации и управления IT >>>
 
HELPDESK (SERVICE DESK)
Helpdesk (или Service Desk) - это информационная система технической поддержки, решения проблем пользователей с компьютерами, аппаратным и программным обеспечением. Это важная составляющая ITIL — позволяет выявить проблемные участки инфраструктуры ИТ, оценить эффективность работы отдела ИТ >>>
 

СТАТЬИ

Управление информационной безопасностью предприятий


Илья Сачков
Менеджер по информационной безопасности ОАО "АРКТЕЛ"



Введение.
Данный обзор в первую очередь предназначен для специалистов тех компаний, в которых информационная безопасность, как разносторонний и непрерывный процесс, находится на этапе зарождения. Такая ситуация может проявляться в компаниях, которых так внезапно коснулся закон "О персональных данных", согласно которому они могут быть привлечены к ответственности за разглашение/утерю/утечку данных клиентов и сотрудников. В тех компаниях, где произошел серьезный инцидент в области информационной безопасности, который повлиял на бизнес и, как следствие на сознание руководства. Или же самое маловероятное событие – это когда топ-менеджмент компании самостоятельно приходит к выводу, что информационная безопасность, не лишнее бремя, а надежная опора для бизнеса.

Аудит, как первый шаг.
В любом случае первым шагом должен стать аудит текущего состояния ИТ - инфраструктуры и информационной безопасности компании. Нельзя бездумно пропускать аудит и также бездумно начинать разработку политики информационной безопасности и внедрение систем защиты. Аудит так же не сделает невозможного, аудит может сделать только две вещи – понять, что компания имеет сейчас, какие риски ей угрожают и понять к чему она должна придти. Я думаю, что не стоит упоминать о том, что риски должны быть реальными и информационная безопасность, не должна стать тем якорем, который зацепился за подводные скалы и мешает бизнесу плыть к цели.

Сейчас появляется модная тенденция проводить аудит силами сторонних компаний. Такие компании обещают за короткий срок провести качественную проверку систем безопасности, указать конкретные уязвимости и составить план работ на будущее. Я хочу сказать, что это утопия полагаться, что за одну – три недели, люди, которые не представляют особенности конкретной корпорации, люди, которые видят любой аудит сквозь призму методологии обычного ИТ проекта, не могут провести аудит достойно. Давно уже пора понять, что проекты (в том числе аудиторские) в области информационной безопасности – это не стандартные проекты PM, они лишь отдаленно похожи на собратьев по ИТ. Информационная безопасность включает в себя психологию, социологию, этические аспекты. Я не думаю, что можно позволить аудиторам давать доступ и даже упоминать о серверах, на которых хранится информация, утечка которой грозит компании финансовым ударов или ударом по престижу. Естественно, что все документы, которые аудиторы составят в ходе работы, останутся в к омпании. Но, то что осталось в их памяти, уйдет из вашего вида навсегда. Мир ИТ в России очень тесен и фраза оброненная аудитором где-нибудь в кафе, потом может обернуться серьезными проблемами.

Считается, что основным преимуществом аудиторов является то, что их работа является независимой, что они не будут скрывать недоработки службы безопасности. Вдобавок ко всему аудиторы являются более грамотными специалистами в области ИБ. Взглянем на это с другой стороны. Во-первых, если ваша служба безопасности, ваши технические специалисты скрывают какие-то недоработки, то возникает вопрос в компетентности этих людей и в верности их идеям компании. Зачем оплачивать сотрудников, которые что-то скрывают, которые боятся, что результат их работы станет известен топ-менеджменту? Теперь поговорим об опыте и о знаниях. Я уверен, что сотрудник, который работает в компании продолжительное время, обладает знаниями о внутренней инфраструктуре, об особенностях и проблемах компаниями. И эти знания аудитор не получит за одну неделю. Нормальный аудит не может длиться одну неделю в крупной компании. А во-вторых, не проще потратить деньги, выделенные для аудита, на обучение собственных сотрудников? Если сделать именно так, т о в следующий раз, денег вообще не придется тратить. Обучение собственного персонала, создание уникальных специалистов именно для вашей компании – вот что приносит плоды.

Единственным возможным аудитом в области Информационной безопасности я вижу аудит на соответствие каким-либо положениям или на получение какого-либо сертификата (стандарты, политики безопасности). И даже в этом случае сначала такой аудит должны провести ваши специалисты, а уж потом можно вынести этот вопрос на аутсорсинг.

Другой вопрос, что если в компании вообще нет службы информационной безопасности. Со мной согласятся многие специалисты, что каждая компания должна придти к тому, что у нее есть либо человек, ответственный за безопасность информационную, либо отдел. Хватит учиться на ошибках. Опыт, накопленный в этой области миллионами компаний по всему миру, показывает, что рано или поздно, если вы не будете уделять внимание информационной безопасности, случится неприятность. А она случится обязательно. И потом придется тратить деньги на восстановительные работы, на поиск людей. А этим людям нужно будет включиться в процесс.

Политика информационной безопасности.
Следующий после аудита шаг, а возможно шаг, выполняемый параллельно с аудитом, на основе получаемых результатов – это написание политики информационной безопасности. Не буду говорить, что политика информационной безопасности во многих случаях необходимо законодательно, и что считается дурным корпоративным тоном ее отсутствие.

Способов написать политику безопасности много – взять готовую, или воспользоваться опросником или программным решением, а можно опять же попросить стороннюю организацию все это проделать. На основе того, что написано выше хочу сказать, что политика безопасности должна быть сделана собственными силами. Документ политики безопасности не должен стать той формальностью, когда есть документ, но никто не знает, что в нем написано. Документ должен описывать реальную ситуацию, к которой стремится компания, но он не должен стать толстой прошивкой из документации к межсетевым экранам и т.д. Политика информационной безопасности не должна разрабатываться в вакууме, иначе после ее принятия выяснится несогласие с ней многих подразделений и не актуальность ее положений. Лучше всего, когда каждый раздел политики отсылается на согласование/ознакомление руководителям подразделений. Только в таком случае получится "живая политика информационной безопасности".

Но, к сожалению, все не так просто. До сих пор многие руководители не понимают для чего это все нужно и не обращают внимания на работу в этой области. До сих пор существует вопрос о самоокупаемости информационной безопасности. Человеческий фактор основная проблема. Необходимо найти баланс между безопасностью и удобством. Известна аксиома- "безопасность и удобство вещи обратно пропорциональные". Именно поэтому специалист в области корпоративной информационной безопасности должен уметь общаться с людьми. Нельзя бездумно все запрещать, нельзя бездумно все разрешать.

Теперь по поводу самого документа. Документ рекомендуется поделить на несколько обособленных документов. Один описывает цели, средства, ответственность. Другой устанавливает правила работы в корпоративной информационной системе. И отдельно надо уже выделить технические политики. Почему именно так? Правила работы в информационной системе часто будут меняться, и если они выделены в отдельный документ, то исправления вносить придется только в него. Технические политики, скорее всего, являются конфиденциальными данными, и поэтому рядовым сотрудникам совсем необязательно знать как и каким образом реализуются те или иные средства защиты.

Внедрение политики информационной безопасности.

Так как политика информационной безопасности будет касаться каждого сотрудника и, соответственно, каждого руководителя, то я рекомендую придерживаться позиции, что любой сотрудник может внести предложения насчет разработанного документа. В рабочей суете люди, которые разрабатывали документ, могли попросту забыть о вещах, которые на виду, или могли не предусмотреть особенности работы какого-либо отдела. Поэтому, возможно, что поступившие предложения окажутся весьма полезными.

Можно пойти путем информационных писем – т.е. все сотрудники должны быть извещены, что:

  • разработан документ политики информационной безопасности;

  • документ находится в общедоступном месте (например, на корпоративном портале);

  • они могут задать любые вопросы и предложить поправки к документу;

  • после определенной даты документ будет принят и объявлен обязательным для исполнения.


Таким образом, решится сразу несколько проблем. Сотрудники отдела информационной безопасности, возможно, получат предложения. Почему я говорю – "возможно"? Потому, что в компаниях, где политики информационной безопасности не было, ее введение у 90% персонала не вызовет реакции ни на стадии разработки, ни на стадии внедрения. Реакция наступает обычно тогда, когда какие-то положения политики в плане разграничения доступа коснутся работы и свободы сотрудника. Самое главное на данном этапе жестко следовать намеченному плану и политике, и параллельно с этим разработать программу оповещения/обучения, которая поможет сотрудникам понять, почему вводится определенные ограничения, которых не было раньше. Программа обучения в самом лучшем случае создает так называемое дополнение к корпоративному этикету. Нарушая политику безопасности, ты показываешь неуважение к компании, к ее информационным активам, а, следовательно, ко всем коллегам, а ну и естественно выговоры, объяснительные, а в серьезных случаях увольнения и угроза попасть под суд, благо российское законодательство в области информационных технологий постепенно развивается.

Чтобы политика информационной безопасности стала максимально эффективной и соответствовала международным стандартам, то необходимо разрабатывать ее с учетом как раз этих стандартов. Международные стандарты (ISO 17799-2005, ISO 27001 и т.д.) представляют собой сборник рекомендаций по развертыванию системы информационной безопасности. Рекомендации, включенные в стандарты, являются следствием многолетней работы в этой области.
 
Рассмотрим, какие требования предъявляет стандарт ISO 17799-2005 к политике информационной безопасности:

  • Нормативный документ, описывающий политику безопасности, должен быть утвержден руководством компании, опубликован и доведен до сведения сотрудников компании; Причем отдельно выделяется требование, в котором говорится, что документ должен быть доведен в простой и понятной форме;

  • В нормативном документе, описывающем политику информационной безопасности, должны быть сформулированы принципы управления информационной безопасностью компании. В данном нормативном документе должны быть отражены следующие положения:

  1. определение понятия информационной безопасности, ее основных действий, области действия и значения информационной безопасности как ключевого условия процессов обработки информации;

  2. основные принципы управления информационной безопасностью с учетом стратегии ведения бизнеса в компании;

  3. описание подходов к оценке рисков и управление рисками;

  4. ответственность за обеспечение процесса управления информационной безопасностью, в том числе за информирование в случае возникновения инцидентов информационной безопасности;

  5. ссылки на другие нормативные документы, более детально описывающие требования информационной безопасности (инструкции, регламенты, руководства)

  6. краткое описание основных требований к информационной безопасности с учетом соответствия законодательству, требований к обучению сотрудников вопросам ИБ, требований непрерывности бизнеса и возможных последствий от нарушения информационной безопасности;


Как уже было сказано политика безопасности это живой документ, который должен постоянно обновляться, обсуждаться. Документ должен работать, а не присутствовать в компании для галочки. Посмотрим, что говорит стандарт о пересмотре политике безопасности:

  • Политика информационной безопасности должна пересматриваться в случае внесения существенных изменений в структуру компании или же на регулярной основе в соответствии с утвержденным планом пересмотра;

  • Необходимо назначить ответственного сотрудника за разработку, пересмотр и оценку существующей политики информационной безопасности.

  • В ходе пересмотра следует оценить возможность улучшения положений политики информационной безопасности и процесса управления информационной безопасностью в соответствии с изменениями условий ведения бизнеса, законодательства, изменениями в организационной структуре или информационной системе компании;

  • При пересмотре политики информационной безопасности должны учитываться результаты пересмотра принципов управления компанией в целом, также проводимого на регулярной основе;

  • Пересмотренная политика информационной безопасности должна быть утверждена руководством компании;

  • При пересмотре принципов управления компанией должно учитываться следующее:

  1. предложения сотрудников и партнеров по совершенствованию политики информационной безопасности;

  2. результаты независимого аудита;

  3. изменение условий ведения бизнеса, законодательства, изменение в организационной структуре или информационной системе компании

  4. существующие угрозы и уязвимости информационной системы;

  5. отчеты об инцидентах в области информационной безопасности;

  6. рекомендации органов государственной власти;

  • Результаты пересмотра политики информационной безопасности должны содержать решения по совершенствованию подхода к управлению информационной безопасностью в компании, уточнению целей и требований информационной безопасности, повышению эффективности системы управления информационной безопасностью и уточнению сфер ответственности сотрудников за обеспечение информационной безопасности;


Следуя вышеизложенным рекомендациям, вы получите действительно стоящий документ, который станет фундаментом будущей системы управления информационной безопасностью в компании.

http://www.egovernment.ru

http://www.itsec.ru/


Нравится статья? Поделитесь с друзьями, нажав на кнопки соцсетей! Спасибо!





<<< Обсудить на форуме  |  Все статьи >>>



 
О проекте Конфиденциальность Реклама на портале Форум Карта сайта  
Copyright © 2006 - 2025 ITSMONLINE.RU All rights reserved