Факторы, влияющие на эффективность управления информационной безопасностью

В
наши дни трудно представить работу современной ор- ганизации без информационных технологий. Инфор- мация представляет собой актив, который имеет ценность для организации и поэтому должен быть защищен. Гипо- тетически могут быть реализованы конкретные контр- меры, нейтрализующие основные, на первый взгляд, ин- формационные угрозы. Однако, в этом случае, ошибочно полагать, что защищаемый объект в безопасности. Это связано, в первую очередь, с тем, что не учитываются все возможные угрозы. У людей, далеких от безопасности, может сложиться впечатление, что угрозы, приносящие незначительный для организации ущерб, можно не рас- сматривать. Однако, в случае реализации нескольких таких угроз в совокупности организация может «постра- дать», причем значительно. Кроме того, со временем за- щищенность объекта ослабевает. Появляются новые угрозы и уязвимости, что снижает эффективность вне- дрённых средств защиты при отсутствии изменений. В связи с этим, важно осознать, что реализация контрмер не является последним этапом защиты объекта. Пони- мание необходимости внедрения мероприятий по обе- спечению информационной безопасности организации, как непрерывного процесса, обуславливает потребность
в управлении данной деятельностью.

Уровни управления информационной безопасностью

При проектировании информационных систем во- просы обеспечения безопасности не всегда принимаются во внимание [1]. Однако, последующее встраивание си- стемы безопасности в информационную систему может быть трудным и дорогостоящим. Кроме того, важно по- нимать, что вопросы управления информационной безо- пасностью (ИБ) включают в себя не только техническую составляющую. Без поддержки руководства и выделения

необходимых ресурсов невозможно обеспечить эффек- тивную защиту от информационных угроз.
Процесс управления ИБ носит циклический характер и заключается в следующем:

• 
  описание защищаемых активов
  
• 
  выявление и формализация возможных угроз ин- формационной безопасности
  
• 
  анализ рисков информационной безопасности
  
• 
  разработка контрмер
  

Управление ИБ включает в себя 3 уровня (Рис.1). Стратегический уровень характеризует обеспечение интересов организации в области безопасности. На данном уровне определяются стратегия и основные меро- приятия по обеспечению информационной безопасности. На тактическом уровне осуществляется планирование и обеспечение выполнения Политики информационной безопасности. Разрабатываются необходимые регла- менты, правила и инструкции. Проводятся расследования и анализ инцидентов информационной безопасности. На- конец, уровень оперативного управления включает в себя реализацию конкретных контрмер, нейтрализу- ющих информационные угрозы.

Приверженность руководства

Основополагающим аспектом, без которого бессмыс- ленно говорить об управлении ИБ, является понимание руководством необходимости обеспечения информаци- онной безопасности организации. Руководство должно де- монстрировать поддержку мероприятий по обеспечению информационной безопасности посредством разработки Политики информационной безопасности. Данный доку- мент должен быть утвержден руководством и доведен до сведения сотрудников организации. Политика представ- ляет собой документ, описывающий общие намерения,

официально выраженные руководством. Организация может иметь несколько политик для каждой сферы дея- тельности. В области безопасности, политики, как пра- вило, иерархически организованы. Обычно Политика безопасности организации является политикой высшего уровня. Она подкрепляется более конкретными полити- ками, включая Политику информационной безопасности. В свою очередь, Политика информационной безопас- ности может подкрепляться более детальными полити- ками по конкретным предметам, относящимся к аспектам информационной безопасности [2]. Типовая структура Политики информационной безопасности представлена на рисунке 2.
Все обязанности по обеспечению информационной безопасности должны быть распределены в соответствии с Политикой информационной безопасности. При необ- ходимости обязанности дополняются более детальными руководствами. Лица, на которых возложена обязанность
по обеспечению безопасности могут делегировать опре- деленные задачи другим лицам, однако, они остаются от- ветственными за их выполнение.

Роль экономического обоснования

В рамках мероприятий по обеспечению информаци- онной безопасности организации должно осуществляться управление рисками с целью защиты от информационных угроз. Данный процесс позволяет определить необхо- димый размер вложений в информационную безопасность для обеспечения максимального возврата инвестиций. Это осуществляется путем оценки рисков и выбора опти- мального по эффективности варианта защиты.

Самым большим препятствием на пути принятия ка- ких-либо мер по обеспечению информационной безопас- ности в компании являются две причины: ограничение бюджета и отсутствие поддержки со стороны руковод-

Рис. 2. Структура Политики информационной безопасности

ства [3]. Обе причины возникают из-за непонимания ру- ководством серьезности вопроса. Зачастую, основная проблема заключается в том, что специалисты по ин- формационной безопасности и руководители разговари- вают на разных языках — техническом и финансовом. Для преодоления этой преграды специалистам по инфор- мационной безопасности необходимо четко представлять, сколько компания может потерять денег в случае реали- зации угроз, какие места в системе наиболее уязвимы, какие меры можно предпринять для повышения уровня защищенности и при этом не потратить лишних денег. В случае, если всё это подтверждено документально, то решение задачи убедить руководство выделить средства на обеспечение информационной безопасности стано- вится более реальным.
Первым шагом реализации программы информаци- онной безопасности является разработка экономического обоснования с учетом потребностей организации. Этот документ подтверждает, что организация понимает важ- ность информационной безопасности. Как правило, со- став экономического обоснования будет зависеть от вы- сокоуровневой оценки рисков, которая позволит выявить основные угрозы. Экономическое обоснование может включать следующие основные компоненты, но не огра- ничиваться ими [4]: приоритетные последствия, приори- тетные угрозы, ожидаемое годовое влияние на деятель- ность организации, стоимость контрмер. Понимание этих компонентов основывается на статистических данных о прошлых инцидентах, а также на знаниях о роли рас- сматриваемой системы в деятельности организации, учи- тывая ее особенности и имеющиеся ресурсы.
В зависимости от требований принятия решений в кон- кретной организации экономическое обоснование может быть, как детальным, так и кратким. Однако, оно не явля- ется результатом детальной оценки рисков, а, скорее, со- держит такое описание рисков, которого будет достаточно для оправдания необходимости проведения мероприятий по обеспечению информационной безопасности. В эконо- мическом обосновании могут быть приведены также пре- имущества, которые вытекают из управления ИБ. Ос- новные из них включают в себя: минимизацию рисков, сокращение возможных потерь от реализации инцидентов информационной безопасности, а также непрерывное обеспечение защищенности организации от информаци- онных угроз.

Мониторинг внедренных контрмер

Комплекс мер по обеспечению информационной без- опасности должен оцениваться с постоянным интер- валом путем внутреннего и независимого аудита [3]. Внутренний аудит проводится для определения эффек- тивности внедренных контрмер. Такие проверки, прежде всего, должны быть направлены на устранение недо- статков. Они должны тщательно подготавливаться для обеспечения как можно более эффективного достижения

их целей, в то же время, не вызывая нарушения штатной работы организации. По результатам действий по мо- ниторингу руководству должен быть представлен отчет. Данный документ должен содержать перечень рекомен- дуемых действий, с четко определенными приоритетами, вместе с реальной оценкой предполагаемых затрат на выполнение каждого из этих действий. Это обеспечи- вает возможность принятия руководством решений без лишних задержек.
Выбор аудиторов для внутреннего аудита может ока- заться сложным для небольших компаний. Дело в том, что для проведения проверочных мероприятий важно на- значить сотрудников, не участвовавших в планировании и разработке мер по обеспечению информационной без- опасности в силу необъективности такой проверки. Не- обходимо также учитывать субъективность принятия решений при оценке деятельности своих коллег по ра- боте. В этом отношении, если руководство готово выде- лить деньги, можно привлечь внешних аудиторов. Взгляд со стороны всегда позволяет выявить определённые аспекты, которые могут быть упущены при проведении проверок собственными силами. Важно отметить, что внешние аудиторы компетентны в своей области, однако, могут учесть не все особенности организационной среды проверяемой компании. Безусловно, собственные сотруд- ники лучше знают «тонкости» процессов, протекающих в организации. Поэтому для эффективного мониторинга защищенности объекта от информационных угроз по- лезно чередовать периодические проверки, проводимые собственными силами, с проверками, осуществляемыми внешними аудиторами.

Вывод

В статье обосновывается необходимость рассмотрения мероприятий по обеспечению информационной безопас- ности, как непрерывного процесса, которым надо управ- лять. На эффективность управления влияет позиция ру- ководства организации в отношении безопасности. В первую очередь, необходимо разработать Политику информационной безопасности для того, чтобы офици- ально задокументировать намерения руководства в этой области. Все остальные документы, которые будут раз- рабатываться в организации и затрагивать вопросы ин- формационной безопасности должны быть согласованы с Политикой. После этого важно обосновать необходи- мость реализации определенных мероприятий по обеспе- чению информационной безопасности посредством раз- работки экономического обоснования. Данный документ является основным средством для того, чтобы убедить ру- ководство в финансировании предлагаемых мероприятий. Также необходимо уделять особое внимание мониторингу внедренных контрмер. С целью повышения эффектив- ности проведения проверочных мероприятий важно пери- одически привлекать внешних аудиторов для внутренних проверок.