Сергей Петренко - Политики безопасности компании при работе в Интернет
экономическая целесообразность;
По рекомендациям ведущих компаний в области безопасности, от 60 до 80 % всех усилий по обеспечению безопасности должны быть направлены на разработку политик безопасности и сопутствующих документов. Вы спросите, почему?
Как видно из диаграммы (рис. 1.15), разработанной Стивеном Россом (Delloitte & Touche), каждая политика безопасности может являться как самым дешевым, так и одновременно самым эффективным способом обеспечения информационной безопасности.
хорошая бизнес-практика.
...Рис. 1.15. Оценка эффективности и цены решений в области защиты информации
Наличие политик информационной безопасности является правилом хорошего тона. В опросе, проведенном в Великобритании компанией PriceWaterhouseCoopers в 2002 году, 67 % компаний назвали именно эту причину создания политик информационной безопасности.
Даже такие высокотехнологичные компании, как Cisco, заявляют, что правильно сформулированная политика информационной безопасности лучше технических средств обеспечения информационной безопасности. Подход Cisco к проблемам создания защищенной инфраструктуры (рис. 1.16) показывает, что именно политики информационной безопасности являются краеугольным камнем, вокруг которого строится вся система обеспечения безопасности.
...Рис. 1.16. Подход Cisco к созданию политик безопасности
Таким образом, политики обеспечения информационной безопасности необходимы для успешной организации режима информационной безопасности любой отечественной компании. Политики безопасности минимизируют влияние «человеческого фактора» и недостатки существующих технологий защиты информации. Кроме того, политики безопасности дисциплинируют сотрудников компании и позволяют создать корпоративную культуру безопасности.
1.4. Как разработать политики безопасности?
Прежде чем мы начнем искать ответ на поставленный вопрос, поговорим немного о проблеме доверия.
1.4.1. Кому и что доверять
От правильного выбора уровня доверия к сотрудникам зависит успех или неудача реализации политики безопасности компании. При этом слишком большой уровень доверия может привести к возникновению проблем в области безопасности, а слишком малый – заметно затруднить работу сотрудника, вызвать у него недоверие и даже привести к увольнению. Насколько можно доверять сотрудникам компании? Обычно используют следующие модели доверия:
• доверять всем и всегда – самая простая модель доверия, но, к сожалению, непрактичная;
• не доверять никому и никогда – самая ограниченная модель доверия и также непрактичная;
• доверять избранным на время – модель доверия подразумевает определение разного уровня доверия на определенное время. При этом доступ к информационным ресурсам компании предоставляется по необходимости для выполнения служебных обязанностей, а средства контроля доступа используются для проверки уровня доверия к сотрудникам компании.
Вряд ли существует компания, в которой следуют модели доверия «доверять всем и всегда». В сегодняшнем мире это нереально. То же самое относится и ко второй модели – «не доверять никому и никогда». Поэтому самая реалистичная модель доверия – «доверять некоторым из сотрудников компании на время».
1.4.2. Трудности внедрения политик безопасности
Опыт создания политик безопасности авторами показывает, что внедрение политики безопасности часто приводит к возникновению напряженности во взаимоотношениях между сотрудниками компании. Это в основном связано с тем, что сотрудники часто стараются не следовать каким-либо правилам безопасности, так как не хотят себя ограничивать в своих действиях. Другая причина в том, что каждый сотрудник имеет свое представление (не обязательно солидарное с принятой в компании политикой безопасности) о необходимости и способах организации режима информационной безопасности в компании. Например, сотрудники контура сбыта заинтересованы в оперативном исполнении своих обязанностей без каких-либо задержек, связанных с применением средств защиты информации. Персонал службы поддержки часто заинтересован только в простоте эксплуатации администрируемых ими информационных систем. ТОР-менеджмент компании заинтересован прежде всего в оптимизации затрат и уменьшении общей стоимости владения (ТСО) корпоративной системы защиты информации. Получить одобрение всех положений политики безопасности у перечисленных групп сотрудников компании – трудная и практически неосуществимая задача. Поэтому лучше всего попробовать достигнуть некоторого компромисса.
1.4.3. Кто заинтересован в политиках безопасности?
Политики безопасности затрагивают практически каждого сотрудника компании. Сотрудники службы поддержки будут осуществлять и поддерживать правила безопасности компании. Менеджеры заинтересованы в обеспечении безопасности информации для достижения своих целей. Юристы компании и аудиторы заинтересованы в поддержании репутации компании и предоставлении определенных гарантий безопасности клиентам и партнерам компании. Рядовых сотрудников компании политики безопасности затрагивают больше всего, поскольку правила безопасности накладывают ряд ограничений на поведение сотрудников и затрудняют выполнение работы.
1.4.4. Состав группы по разработке политик безопасности
Буклет SAGE «А Guide to Developing Computing Policy Documents» рекомендует следующий состав рабочей группы по разработке политик безопасности:
• член совета директоров;
• представитель руководства компании (СЕО, финансовый директор, директор по развитию);
• СЮ (директор службы автоматизации);
• CISO (директор по информационной безопасности);
• аналитик службы безопасности;
• аналитик ИТ-службы;
• представитель юридического отдела;
• представитель от пользователей;
• технический писатель.Численность группы по разработке политик безопасности будет зависеть от широты и глубины проработки политик безопасности. Например, разработка политик безопасности для офисной сети в 40–50 узлов может занять один человекомесяц.
1.4.5. Процесс разработки политик безопасности
Если это возможно, то о том, что разрабатывается новая политика информационной безопасности компании, необходимо уведомить сотрудников заранее. До начала внедрения новой политики безопасности желательно предоставить сотрудникам текст политики на одну-две недели для ознакомления и внесения поправок и комментариев. Также надо учитывать, что без прав нет обязанностей, то есть сотрудники, на которых распространяются правила безопасности, должны обладать всеми необходимыми полномочиями для того, чтобы выполнять эти правила.
1.4.6. Основные требования к политике безопасности
В идеале политика безопасности должна быть реалистичной и выполнимой, краткой и понятной, а также не приводить к существенному снижению общей производительности бизнес-подразделений компании. Политика безопасности должна содержать основные цели и задачи организации режима информационной безопасности, четкое описание области действия, а также указывать на ответственных и их обязанности. Например, по мнению специалистов Cisco, желательно, чтобы описание политики безопасности занимало не более двух (максимум пяти) страниц текста. При этом важно учитывать, как политика безопасности будет влиять на уже существующие информационные системы компании. Как только политика утверждена, она должна быть представлена сотрудникам компании для ознакомления. Наконец, политику безопасности необходимо пересматривать ежегодно, чтобы отражать текущие изменения в развитии бизнеса компании.
1.4.7. Уровень средств безопасности
Хорошо написанные политики безопасности компании должны позволять балансировать между достигаемым уровнем безопасности и получаемым уровнем производительности корпоративных информационных систем компании. Одна из основных целей политики безопасности состоит в том, чтобы обосновать и внедрить средства защиты информации, адекватные целям и задачам бизнеса. Выбор необходимых средств защиты информации для определенной политики безопасности не всегда понятен и легко определяем. Здесь решающую роль играют необходимость организации режима информационной безопасности, а также бизнес-культура компании. При этом если правила политики безопасности слишком ограничительны или слишком жестки, для того чтобы их внедрять и соответствовать им в дальнейшем, то либо они будут игнорироваться, либо сотрудники компании найдут способ обойти средства безопасности.
1.4.8. Примеры политик безопасности
В настоящее время ряд ведущих компаний в области безопасности выделяют следующие политики: