Необходимость создания политики безопасности
Любую отечественную компанию можно сравнить с небольшим государством. И если в каждом государстве существует законодательство, регламентирующее деятельность граждан, то в компании роль законов выполняют правила политики безопасности. За нарушение законов государства граждане несут ответственность, за нарушения политики безопасности компании сотрудники также должны нести ответственность.
Политика информационной безопасности определяет стратегию и тактику построения корпоративной системы защиты информации. В российской терминологии документ определяющий стратегию часто называют концепцией, а документ определяющий тактику - политикой. На Западе принято создавать единый документ включающий в себя стратегию и тактику защиты. Политика безопасности компании является основой для разработки целого ряда документов безопасности: стандартов, руководств, процедур, практик, регламентов, должностных инструкций и пр.
Что должно мотивировать отечественные предприятия и компании разрабатывать политику информационной безопасности? К таким мотивам можно отнести следующее:
1. Выполнение требований руководства компании
Как правило, руководство компании проявляет внимание к проблемам информационной безопасности под воздействием "фактора страха" или после нескольких серьезных инцидентов повлекших за собой остановку или замедление работы компании. Например, в результате вирусной атаки или атаки "отказ в обслуживании", разглашения конфиденциальной информации или кражи компьютеров с ценной информацией.
2. Выполнение требований российского законодательства
Каждая компания обладает информацией, представляющей некоторую ценность, и по понятным причинам она не желала бы разглашения этой информации. Политика информационной безопасности позволяет определить правила в соответствии с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (статья 139 Гражданского Кодекса и Закон о защите коммерческой тайны). В зависимости от сферы действия компании, она должна выполнять требования существующего законодательства применимые к ее отрасли. Например, банки, в соответствии со статьей 857 Гражданского Кодекса должны гарантировать защиту банковской тайны клиентов. Страховые компании должны защищать тайну страхования (статья 946 Гражданского Кодекса) и так далее. Кроме этого, в соответствии с Указом №188 от 06.03.97 "Об утверждении перечня сведений конфиденциального характера", компании должны обеспечивать защиту персональных данных сотрудников.
7. Демонстрация заинтересованности руководства компании
Вовлечение руководства в организацию режима информационной безопасности компании значительно увеличивает приоритет безопасности, что положительно сказывается на общем уровне безопасности компании. Без демонстрации заинтересованности руководства компании сотрудники не станут воспринимать политику информационной безопасности всерьез. Цель политики безопасности - разъяснение и доведение позиции руководства по обеспечению информационной безопасности в соответствии с принципами безопасности и бизнес целями компании.
8. Создание корпоративной культуры безопасности
"Образно организацию режима информационной безопасности можно сравнить с цепью: рвется там где самое тонкое звено цепи"( Б. Шнайер). Сотрудники являются как самым сильным, так одновременно и самым слабым звеном в обеспечении информационной безопасности. Необходимо донести до сотрудников мысль о том, что "обеспечение информационной безопасности - обязанность всех сотрудников". Это достигается путем введения процедуры ознакомления с требованиями политики безопасности и подписания соответствующего документа о том, что сотрудник ознакомлен, ему понятны все требования политики и он обязуется их выполнять. Политика позволяет ввести требования по поддержанию необходимого уровня безопасности в перечень обязанностей каждого сотрудника. В процессе выполнения ими трудовых обязанностей для сотрудников необходимо периодически проводить ознакомление и обучение вопросам обеспечения информационной безопасности. Критически важным условием для успеха в области обеспечения информационной безопасности компании становится создание в компании атмосферы, благоприятной для создания и поддержания высокого приоритета информационной безопасности. Чем крупнее компания, тем более важной становится информационная поддержка сотрудников по вопросам безопасности.
9. Уменьшение стоимости страхования
Страхование - важная составляющая управления информационными рисками. Наличие политики информационной безопасности является необходимым и обязательным условием страхования. В России уже появились фирмы предлагающие страховать информационные риски, например "Ингосстрах" и "РОСНО". Стоимость страхования страховая компания определяет путем проведения аудита информационной безопасности независимой компанией, специализирующейся в этой области. Например, компания Центр финансовых технологий (интернет-проект Faktura.ru) заключила договор комплексного страхования информационных рисков с "Ингосстрахом". Сумма ответственности составила $500 000. Аудит проводила компания OАO "Элвис-Плюс".
10. Экономическая целесообразность
По рекомендациям ведущих компаний в области безопасности от 60 до 80 процентов всех усилий по обеспечению безопасности должны быть направлены на разработку политики безопасности и сопутствующих ей документов. Вы спросите почему? Как видно из диаграммы (рис. 14) разработанной Стивеном Россом (Delloitte&Touche) политика безопасности может являться как самым дешевым, так и одновременно самым эффективным способом обеспечения информационной безопасности.
См. рисунок 15.
11. Хорошая бизнес практика
Наличие политики информационной безопасности является правилом хорошего тона. В опросе проведенном в Великобритании компанией PriceWaterHouseCoopers в 2002 году 67% компаний назвали именно эту причину создания политики информационной безопасности. Даже такие высокотехнологичные компании как Cisco заявляют, что правильно сформулированная политика информационной безопасности лучше технических средств обеспечения информационной безопасности. Подход Cisco к проблемам создания защищенной инфраструктуры (см. рис. 16) показывает, что именно политика информационной безопасности является краеугольным камнем безопасности вокруг которого строится вся система обеспечения безопасности.
Таким образом, политика обеспечения информационной безопасности необходима для успешной организации режима информационной безопасности любой отечественной компании. Политика безопасности минимизирует влияние "человеческого фактора" и недостатки существующих технологий защиты информации. Кроме того политика безопасности дисциплинирует сотрудников компании и позволяет создать корпоративную культуру безопасности.
