политика безопасности предприятия

реклама
Подписной индекс 48386
информационная безопасность
Консультируют специалисты
ПОЛИТИКА БЕЗОПАСНОСТИ
ПРЕДПРИЯТИЯ: ДЛЯ ЧЕГО ОНА
И КАК ЕЕ РАЗРАБОТАТЬ?
РОМАН ИДОВ
ведущий аналитик
компании SearchInform
Для начала стоит понять, что же
это такое – политика информационной безопасности предприятия? Как
показывают исследования компании
SearchInform, сегодня только 34% украинских компаний имеют полноценную и
профессионально разработанную политику информационной безопасности. А
около 9% вообще никак не обеспечивают защиту своих данных от внешних и
внутренних угроз. Поэтому разработка
качественной политики информационной безопасности и последующая её
реализация в реальных бизнес-процессах будут серьезным конкурентным
преимуществом для вашей компании.
Итак, политикой информационной
безопасности называется сборник правил, описывающий возможные информационные угрозы для предприятия
и способы защиты от каждой из них.
Несмотря на то, что большинство современных угроз достаточно хорошо
изучены, и средства защиты от них во
многом достаточно очевидны, всё равно все они весьма подробно расписаны
в корпоративной политике информационной безопасности.
Что еще должна включать в себя такая политика? Необходимо обозначить
возможные роли пользователей корпоративной информационной системы и
их допуски к различным видам данных,
определить ответственность персонала
за нарушения положений политики безопасности, права и обязанности сотрудников, обеспечивающих информационную безопасность компании.
Чем более подробной будет политика безопасности, чем меньше в ней
будет неточностей и недосказанностей,
тем лучше она будет работать. Не стоит
26
Обеспечение информационной безопасности любой компании
начинается с разработки политики безопасности – основополагающего документа для всей будущей (или действующей) службы
ИБ. Поэтому к разработке политики информационной безопасности необходимо отнестись со всей возможной серьезностью.
бояться делать политику информационной безопасности чересчур громоздкой
из-за её подробности – она нужна не
для использования конкретными сотрудниками, а для специалистов. Как
и любой юридический документ, политика информационной безопасности
пишется для того, чтобы у соответствующих специалистов была правовая основа для действий, необходимых для
защиты компании от информационных
угроз. Для рядовых пользователей
сотрудники отдела ИБ затем разработают должностные инструкции, дополнительные соглашения к рабочим
контрактам и прочие документы, кото-
рые будут понятны тем, кто не является
специалистом по информационной безопасности. Но все эти документы будут
разрабатываться уже на основе существующей в компании политики ИБ.
Политика должна включать в себя не
только общие правила, но и конкретные
технические решения, которые при-
F+S: технологии безопасности и противопожарной защиты № 5 (65) 2013
меняются для защиты от тех или иных
угроз. Конечно, нет необходимости
прописывать в ней, например, производителя используемого предприятием
антивируса, но написать о требованиях,
которые предъявляются к антивирусному ПО на серверах и рабочих станциях,
необходимо. То же самое можно сказать и обо всех остальных используемых системах безопасности.
Не стоит забывать и о том, что информацию в компании защищают не
только от чужих глаз и кражи, но и от
потери и подделки. Поэтому резервное
копирование – тоже необходимая часть
корпоративной политики информационной безопасности. Однако делегировать его выполнение имеет смысл,
конечно же, не отделу ИБ, а ИТ-отделу.
Что же касается защиты документов от
подделок, то здесь, если говорить об
электронных документах, не обойтись
без проверенного временем механизма
– цифровой подписи.
Если в вашей компании еще нет отдела ИБ, то его создание можно также
приурочить к разработке политики информационной безопасности. При этом
нужно помнить, что политику информационной безопасности должен разрабатывать опытный специалист, хорошо
разбирающийся как в информационной
безопасности, так и в реалиях отрасли,
в которой работает ваша компания.
www.security-info.com.ua
Консультируют специалисты
Найти такого специалиста на постоянную работу, мягко говоря, непросто, и
кроме того, он обойдется вашей компании весьма недешево. Поэтому на
этапе разработки политики может оказаться целесообразным обращение в
консалтинговую компанию, которая уже
разрабатывала подобную политику для
одного из предприятий вашей отрасли.
К выбору консалтинговой компании
нужно подойти ответственно и помнить, что, к сожалению, даже высокая
стоимость услуг консалтеров не гарантирует их столь же высокого качества.
Идеальным вариантом будет изучение
портфолио компании, необходимо также поговорить с кем-то из её клиентов.
Отсутствие портфолио и клиентов говорит о том, что от услуг подобной компании лучше отказаться.
Впрочем, всё это ни в коем случае
не означает, что самостоятельная разработка политики информационной
безопасности приведет вашу компанию
к провалу в этой сфере. Просто нужно
помнить, что ваши специалисты, занятые политикой, тоже не обходятся вам
бесплатно, поэтому зачастую экономия
по сравнению со стоимостью заказа подобной услуги у консалтинговой компании, будет не такой уж значительной.
информационная безопасность
Написанию политики информационной безопасности предприятия должна
обязательно предшествовать тщательная работа по выявлению информационных угроз, с которыми предприятие
сталкивается. Они могут быть очень
неодинаковыми для разных индустрий,
и иметь очень разные последствия
случившихся инцидентов. Поэтому необходимым этапом разработки политики безопасности является построение
модели угроз и расчет рисков. Только
с учетом этих данных можно выбрать
оптимальную защиту, которая позволит охватить наиболее актуальные для
компании угрозы, и при этом не будет
чересчур обременительной по своей
стоимости.
Большая часть работы – это и классификация документов, без которой
невозможно определить различные
уровни допуска к ним для разных групп
пользователей. При этом как консалтинговой компании, так и вашим собственным специалистам по ИБ будет
необходима помощь руководителей
всех отделов компании, которые помогут понять, насколько важным и конфиденциальным является тот или иной
документ, и, соответственно, насколько
необходимо тратиться на его защиту.
ИССЛЕДОВАНИЯ
ИСТОЧНИК УГРОЗЫ - ИТ-ОТДЕЛ
Программисты, системные администраторы и прочие компьютерщики зачастую могут беспрепятственно исследовать корпоративную сеть своей компании, получить доступ
к важным документам — и никто этого не обнаружит. В 68%
случаев сотрудники ИТ-отдела имеют больше привилегий
в корпоративной сети, чем сотрудники финансового отдела, HR-отдела или менеджеры компании. Такие результаты
получила компания Lieberman Software в результате опроса
более 450 компьютерщиков.
Опрос показал также, что 39% сотрудников ИТ-отделов
имеют фактическую возможность доступа к конфиденциальным файлам, к которым им не положено иметь доступ, а
Впрочем, разработка политики
информационной безопасности – это
только половина дела, если не треть.
Потому что разработанную политику
ещё необходимо воплотить в жизнь.
В этом, как говорилось выше, должны
помочь разработанные с её помощью
документы. Однако обеспечение информационной безопасности предприятия одними организационными
мерами невозможно, поэтому следующим необходимым этапом является
внедрение различных технических
средств обеспечения информационной безопасности компании. Эти
внедрения могут быть достаточно дорогостоящими, но они все окупятся:
например, если говорить об утечках
информации, то средняя цена каждой
из них в 2013 году составила уже 5,5
млн. долларов.
Таким образом, подводя итог сказанному выше, можно порекомендовать обратиться при разработке политики безопасности к профессионалам,
имеющим опыт решения подобных
задач. Идеально будет нанять такого
профессионала в свой отдел ИБ, но при
невозможности этого можно довольствоваться услугами консалтинговой
компании.
каждый пятый уже пользовался этой возможностью.
Мораль и лояльность к работодателю у ИТ-сотрудников не
слишком высока. Каждый девятый (11%) признался, что в
случае угрозы увольнения он готов нарушить права доступа
и поискать в корпоративной сети список сотрудников, подлежащих увольнению — и проверить, есть ли там его имя.
Компьютерщики готовы присвоить себе и другую корпоративную информацию, если видят такую необходимость. Например, если им заранее известно об увольнении, то 11%
опрошенных выразили готовность прихватить с собой часть
корпоративных секретов. Около трети респондентов сказали, что руководство компании не знает, как предотвратить
такую ситуацию.
По мнению экспертов Lieberman Software, для устранения
угрозы утечки информации организация должна предпринять ряд действий:
1. Определить и задокументировать все привилегированные аккаунты в системе, кому они принадлежат и какие
взаимозависимости имеют между собой.
2. Делегировать доступ к привилегированным аккаунтам
только соответствующим сотрудникам, используя минимально возможное количество привилегий.
3. Установить правила по минимальной сложности паролей
и частоте смены паролей, после чего синхронизировать изменения по всем взаимозависимостям.
4. Провести аудит и убедиться, что каждая сессия с привилегированного аккаунта правильно задокументирована,
с указанием длительности сессии и её причины, при этом
запись не доступна для фальсификаций.
Редакционная подписка: (044) 369-51-11
27
Скачать