Структурирование процессов управления информационной безопасностью в крупном холдинге
Евгений Дружинин,
ведущий инженер компании КРОК, к.т.н.
Itsec.Ru
СЛЕДСТВИЕМ успешного развития любой компании на рынке является ее укрупнение, которое может заключаться в увеличении количества сотрудников, изменении организационной структуры, расширении и модернизации ИТ-инфраструктуры.
Выполненные изменения могут приводить к появлению новых угроз, уязвимостей, увеличению финансовых потерь от возможного ущерба, а следовательно, к новым рискам информационной безопасности (ИБ). Поэтому необходимо проведение периодической структуризации процессов обеспечения и управления ИБ, направленной на выявление и устранение проблем в их организационных и технических составляющих.
Поскольку рост компании может быть следствием как эволюционного развития, так и слияния с другими компаниями, решение вопросов структуризации в каждом конкретном случае может существенно отличаться.
Выбор ориентиров
В зависимости от типа бизнеса холдинга и приоритетов руководства в качестве ориентиров могут быть использованы положения существующих российских (ГОСТ Р ИСО/МЭК 27001-2006, СТО БР ИББС-1.0) и международных (ISO 2700X, ISO 13335, ISM3 и др.) стандартов в области ИБ, а также практические рекомендации авторитетных исследовательских центров, ИТ-интеграторов и компаний-разработчиков.
Вне зависимости от выбранных ориентиров структуризация процессов обеспечения и управления ИБ должна быть направлена на создание или модернизацию системы управления информационной безопасностью (СУИБ). При этом очень важно, чтобы процессы СУИБ были ориентированы на контроль рисков ИБ с учетом бизнес-процессов холдинга.
В идеальном случае конечным результатом структуризации процессов обеспечения и управления ИБ должна стать эффективно работающая СУИБ, представляющая собой совокупность четко налаженных организационных и технических механизмов обеспечения и контроля ИБ в холдинге. Причем индикатором законченности процесса структуризации может выступать сертификация/пересертификация на соответствие определенному стандарту, например ISO 27001.
В настоящий момент в Российской Федерации существует уже 10 компаний, получивших сертификаты на соответствие ISO 27001. Самостоятельное наличие данного статуса позволяет специалистам компании глубже осознавать существующие проблемы структуризации процессов обеспечения и управления ИБ и, тем самым, более качественно решать аналогичные вопросы у своих заказчиков в ходе проведения проектов по консалтингу ИБ.
Важно отметить, что сертификация сама по себе не решит проблем безопасности, поэтому крайне важно не просто получить "красивую бумажку", но и полностью ей соответствовать.
Если руководство холдинга не ставит перед собой задач по сертификации, то оптимальным результатом структуризации может стать перевод системы управления ИБ холдинга на более качественный уровень, предполагающий увеличение "прозрачности" в вопросах управления ИБ как для сотрудников службы ИБ, так и для руководства.
Достижение эффективности
В основе перехода от разнородных механизмов обеспечения ИБ, используемых в отдельных компаниях холдинга, к единой системе обеспечения и контроля ИБ должно лежать полномасштабное обследование всех компаний холдинга на предмет анализа:
-
имеющейся схемы управления, существующих бизнес-процессов, структуры и ответственности служб, обеспечивающих и контролирующих ИБ;
-
существующих нормативно-методических документов, регламентирующих как в общей, так и в детальной форме требования и подходы к обеспечению ИБ;
-
реализованных технических механизмов обеспечения ИБ.
Кроме того, необходимо проанализировать требования руководства холдинга к необходимой структуре управления всего холдинга целиком и, в частности, к службам, отвечающим за обеспечение и контроль ИБ.
Результатом этой работы должно стать выделение общих нюансов и наиболее эффективных из имеющихся схем и методов управления ИБ, а также формирование и согласование с руководством холдинга рекомендаций и единых принципов управления и контроля ИБ в рамках всего холдинга.
Следующим этапом работы должно стать формирование на основе результатов обследования единой нормативно-методической документации по ИБ холдинга. Существующие международные и российские стандарты по ИБ не предписывают четкого перечня требуемой документации, но наиболее важными и необходимыми документами могут выступать следующие:
- политика ИБ, определяющая цели, задачи и общие направления деятельности по обеспечению информационной безопасности с учетом государственного законодательства;
- регламент управления ИБ, конкретизирующий схему управления и несения ответственности, основные процессы по обеспечению и контролю информационной безопасности;
- единый технический стандарт информационной безопасности, описывающий унифицированные технические механизмы обеспечения ИБ всего холдинга;
- функциональные подполитики, конкретизирующие принципы защиты для отдельных механизмов обеспечения ИБ, а также отражающие, например, методологию оценки рисков, принципы управления ими, механизмы анализа рисков и принятия решений по их обработке, планирование контрмер и т.п.;
- должностные инструкции, определяющие требования к работникам по обеспечению ИБ и несению ответственности.
При наличии и на основе утвержденной нормативно-методической документации может быть выполнен анализ рисков, включающий в себя идентификацию и определение ценности информационных активов, выявление угроз и уязвимостей, оценку и ранжирование рисков (в соответствии с их потенциальным воздействием на бизнес), а также определение действий по порядку обработки рисков в рамках всех компаний холдинга.
Анализ рисков позволит руководству осознать текущую ситуацию с обеспечением ИБ в холдинге, принять решение о мерах реагирования на риски, утвердить требования по внедрению или корректировке организационных и технических мер защиты в каждой компании холдинга и расставить приоритеты по их реализации.
Поэтому на следующем этапе должен быть разработан план внедрения/модернизации организационных мероприятий и технических механизмов обеспечения ИБ в соответствии с разработанной нормативно-методической документацией и требованиями, сформированными по результатам анализа рисков.
Комментарий эксперта
Анастасия Шилина, ведущий юрист компании ООО "ИнфоТехноПроект"
Одним из направлений развития России в сфере информационно-коммуникационных технологий является оказание гражданам и организациям государственных услуг в электронном виде. Для получения той или иной услуги, в том числе в электронном виде, население и организации обращаются в орган государственной власти, представляя документы, в которых содержится конфиденциальная информация, включая персональные данные. Для получения результата обращения они "доверяют" такого рода информацию, надеясь исключительно на честность и добропорядочность чиновников, которые обязаны не допустить дальнейшего ее искажения или передачи третьим лицам. Почему речь идет о доверии, когда должен работать закон?
Безопасность в сфере оказания государственных услуг можно условно разделить на техническую и нетехническую. При переходе органов государственной власти на оказание государственных услуг в электронном виде особое внимание уделяется именно технической стороне защиты информации. Так, например, решением такого рода вопросов занимается Росинформтехнологии при реализации требований постановления Правительства Российской Федерации от 25.12.2007 г. № 931 "О некоторых мерах по обеспечению информационного взаимодействия государственных органов и органов местного самоуправления при оказании государственных услуг гражданам и организациям" и создании общероссийского государственного информационного центра, одной из основных задач которого будет предоставление государственных услуг с использованием сети Интернет.
При этом остается нерешенной проблема правовой защиты субъекта-получателя государственной услуги. Ведь до настоящего времени не обсуждается очень важный вопрос об установлении требований к органам государственной власти по обработке персональных данных при предоставлении услуг населению. Действующее законодательство, а в частности Кодекс Российской Федерации об административных правонарушениях, федеральные законы "Об информации, информационных технологиях и о защите информации", "О персональных данных", определяют общие требования к обработке персональных данных и соответствующие виды ответственности. Однако сфера предоставления государственных услуг несомненно имеет свою специфику. При этом в утвержденных административных регламентах вопрос защиты персональных данных при их обработке никак не регулируется. Иными словами, в настоящее время в российском законодательстве остается некая недосказанность в комплексном решении вопроса о защите конфиденциальной информации, включая персональные данные, при оказании государственных услуг.
Компания "ИнфоТехноПроект" предлагает всем посетить научно-практический семинар "Взаимодействие государства с населением и организациями. Оказание государственных услуг в электронном виде", который поможет сориентироваться в нормативной правовой базе, касающейся указанной сферы, дать представление о реализации в России одного из направлений ФЦП "Электронная Россия (2002-2010 годы)", познакомить с существующей практикой оказания государственных услуг в электронном виде. Подробную информацию о программе семинара вы можете найти на сайте компании: www.itp-lc.ru .
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2008