CC BY
305
Вестник Омского университета. Серия «Экономика». 2010. № 1. С. 116-120. © А.М. Тимофеев, 2010
УДК 338.24
ОСНОВНЫЕ ПРОБЛЕМЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ В ОРГАНИЗАЦИИ
FOREMOST ISSUES OF COMPANY INFO-SECURITY
А.М. Тимофеев A.M. Timofeev
Омский государственный университет им. Ф.М. Достоевского
В статье рассмотрены актуальные проблемы управления информационной безопасностью, с которыми сталкиваются организации. Выявлены основные проблемы в области информационной безопасности у большинства российских организаций и выделены основные принципы обеспечения информационной безопасности. Предложено решение, позволяющее реализовать систему информационной безопасности в организации.
The article considers the urgent issues of information security companies face up to. Having defined the above common issues of most companies in Russia, the author offers the key means to provide info-security and the way to put it into practice.
Ключевые слова: информационная безопасность, системный подход, постоянно действующая техническая комиссия.
Key words: info-security, systemic approach, regular technical commission.
Вопрос обеспечения безопасности информации стоит в ряду важнейших вопросов для любой организации.
На практике часто используется определение информационной безопасности, как совокупности конфиденциальности, целостности и доступности. Соответственно информационная безопасность (ИБ) это комплекс мероприятий по обеспечению конфиденциальности, целостности и доступности обрабатываемой информации [1].
На наш взгляд, помимо конфиденциальности, целостности и доступности необходимо выделить еще две важные составляющие ИБ -это неотказуемость и аутентичность [2].
Что означают эти термины?
Конфиденциальность - это защищенность информации от несанкционированного доступа и ознакомления, учитывая тонкие политики безопасности.
Целостность - свойство, при выполнении которого информация сохраняет заранее определенные системой вид и качество.
Доступность - характеризует возможность доступа к хранимой и обрабатываемой в системе информации в любой момент.
Неотказуемость - невозможность отказа от авторства.
Аутентичность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным.
В ст. 16 Федерального закона от 27 июля 2006 г. № 149 ФЗ «Об информации, информационных технологиях и о защите информации» [3] сказано, что защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограниченного доступа;
3) реализацию права на доступ к информации.
Проблемы информационной безопасности являются актуальными не только на Западе но и для большинства российских компаний. Госслужащие и представители частного сектора отмечают, что убытки из-за инсайдерства составляют: прямые финансовые убытки (40-50 %), удар по репутации компании (около 45 %), и вследствие этого потерю клиентов (около 40 %). В связи с подобными денежными потерями руководители фирм начинают все чаще и чаще присматриваться к своим сотрудникам, тщательнее отслеживать их работу, иногда запрещая им пользоваться рабочими инструментами. Часто такой запрет приводит к плачевным результатам - резко уменьшаются продажи ком-
пании, среди сотрудников растет недовольство руководством и такими методами борьбы с утечкой конфиденциальной информации, но ее кража продолжается.
Вышеуказанные причины диктуют необходимость построения надежной системы ИБ, которая, разумеется, была бы адекватна вложенным в нее средствам.
Сразу стоит отметить различия в подходах к планированию бюджета ИБ у российских компаний и их коллег из ведущих стран мира. Российские финансовые директора и руководители организаций вспоминают об ИБ, когда угроза реализуется уже в виде инцидента. Обычно в таких случаях начинается срочная работа по устранению недостатков в системе ИБ, денег при этом тратится много, а эффект в большинстве случаев несоизмеримо мал. Зачастую в России деньги на ИБ выделяются из бюджета ИТ-подразделений, что не совсем правильно, так как цели ИТ и ИБ различны: цель корпоративной информационной системы - это доступность и эффективность ИТ-поддержки бизнес-процессов, а система информационной безопасности обеспечивает конфиденциальность, целостность данных, соответствие системы защиты действующему законодательству. Как показывает практика, российскими компаниями на ИБ выделяется 5-10 % ИТ-бюджета, вне зависимости от уровня «зрелости» информационной системы. Хотя, например, у развивающегося бизнеса риски информационной безопасности выше и вопросы ИБ должны стоять на первом месте (в том числе задачи классификации информации по степени ее критичности для бизнеса, распределения ответственности в сфере обеспечения ИБ, формирования договорных отношений о конфиденциальности и уровне обслуживания, построения процессов обеспечения ИБ и технической архитектуры системы ИБ).
Ведущие мировые компании, в отличие от российских, основной упор делают на превентивные меры защиты, на анализ рисков, управление ИБ, в том числе построение процессов обеспечения непрерывности бизнеса (disaster recovery), управления инцидентами (incident management) и др. [4; 5]. Значение этих мероприятий трудно переоценить. Ведь если «взлом» системы - само по себе опасное событие, то отсутствие системы управления ИБ может усугубить последствия таких инцидентов. Поэтому зарубежные фирмы заранее прорабатывают вопросы, связанные с тем, как компания будет реагировать на возможные инциденты, какие мероприятия будут проводиться по их
расследованию и устранению, чтобы предотвратить подобные ситуации в дальнейшем.
В России же основной упор по обеспечению ИБ делается на комплекс технических средств, прежде всего сетевой безопасности, а не на построение системы ИБ. Защита информации в компаниях воспринимается как разовая задача, которая обычно сводится к установке и настройке типового набора средств защиты, таких как антивирусы, межсетевые экраны, системы разграничения доступа и др. Однако с учетом того, что угрозы постоянно эволюционируют, рано или поздно применение такого подхода приведет к тому, что текущий уровень безопасности организации окажется недостаточным для эффективного противодействия внешним и внутренним атакам злоумышленников. И чтобы избежать этой ситуации, информационная безопасность должна восприниматься как непрерывный процесс, интегрированный в корпоративную модель управления компанией.
Считаем необходимым выделить следующие основные проблемы в области ИБ у большинства российских организаций:
- непонимание руководством смысла и проблем обеспечения ИБ, назначения и важности системы управления ИБ;
- отсутствие служб и штатного персонала
ИБ;
- отсутствие документированных должностных обязанностей персонала ИБ;
- непродуманная политика ИБ, отсутствие многих процессов ИБ;
- игнорирование вопросов проведения аудитов изнутри/со стороны;
- принцип «сарафанного радио» - копирование неадаптированных под себя моделей защиты информации;
- отсутствие процедуры анализа рисков, как следствие - принятие неправильного решения;
- отсутствие дополнительных инвестиций в ИБ ввиду недостаточности/отсутствия формулировок мотивации в их необходимости.
Наиболее эффективным решением как общих, так и индивидуальных задач информационной безопасности в организации является система управления информационной безопасностью.
Под системой управления информационной безопасностью (СУИБ) следует понимать часть общей системы управления компании, базирующуюся на анализе рисков и предназначенную для проектирования, реализации, контроля, сопровождения и совершенствования
мер в области ИБ. СУИБ позволяет достигнуть необходимого уровня защищенности системы и значительно снизить риски угроз ИБ. СУИБ связывает различные компоненты средств ИБ с целью надежного и прозрачного управления обеспечением ИБ компании так, чтобы результат был виден и руководству, и простым специалистам [6].
На проектирование и внедрение СУИБ оказывают влияние бизнес-цели/потребности организации, вытекающие из них требования безопасности, используемые процессы, а также размер и структура организации. Кроме того, реализация СУИБ должна масштабироваться в соответствии с реальными потребностями. Например, для банковского сектора ключевой задачей в области ИБ является обеспечение целостности финансовой информации, для операторов связи - доступности информационных ресурсов, для государственных компаний - конфиденциальности информации. Правильный подход к СУИБ определяется целостностью взгляда на предприятие, работающее в динамически изменяющихся условиях рынка, где развитая и последовательно реализуемая политика организации защиты - необходимое условие для сохранения результатов деятельности компании как с точки зрения сохранения важной информации для работы, так и с позиций хранения коммерческой тайны [7].
Следует выделить основные принципы обеспечения ИБ:
1. Системность - учет всех элементов, условий, факторов при всех видах информационной деятельности, при всех режимах функционирования, на всех этапах функционального цикла, при всех видах взаимодействия с внешней средой.
2. Комплексность - согласование всех разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее элементов.
3. Непрерывность защиты - принятие соответствующих мер защиты на всех этапах жизненного цикла информационной системы от разработки до завершения этапа функционирования.
4. Разумная достаточность - при достаточном времени и средствах преодолевается любая защита. Поэтому имеет смысл создавать только достаточный уровень защиты, при котором затраты, риск, размер возможного ущерба были бы приемлемы.
5. Открытость алгоритмов защиты - знание алгоритмов защиты не должно давать
средств и возможностей ее преодоления. Это не означает, что информация о системе защиты должна быть общедоступна, параметры системы должны быть также защищены.
6. Гибкость системы защиты - средства защиты должны варьировать применительно к изменяющимся внешним условиям и требованиям к уровню защищенности ИС.
7. Простота применения защиты - механизмы защиты должны быть понятны и просты в использовании. Не должны использоваться специальные языки, малопонятные или трудоемкие для пользователя дополнительные действия.
Решить эту задачу невозможно без привлечения менеджеров основного направления деятельности организации как среднего, так и высшего звена. Оптимальна ситуация, когда высший менеджмент организации лично задает наиболее критичные направления деятельности, для которых крайне важно обеспечить информационную безопасность. Мнение высшего руководства по поводу приоритетов в обеспечении ИБ очень важно и ценно в процессе анализа рисков, но в любом случае оно должно уточняться путем сбора сведений о критичности активов на среднем уровне управления компанией. При этом дальнейший анализ целесообразно проводить именно по обозначенным высшим менеджментом направлениям бизнес-деятельности. Полученная информация обрабатывается, агрегируется и передается высшему менеджменту для комплексной оценки ситуации.
В России практикуется подход, направленный на создание подразделения (зачастую очень большого), решающего вопросы ИБ [8; 9]. Как показывает практика, оно дублирует функции сотрудников ИТ-подразделений, в любом случае выполняющих функции ИБ. За рубежом, напротив, работу координирует менеджер (офицер безопасности) административного и методологического центра управления ИБ. За риски отвечают менеджеры подразделений, они же делегируют функции управления ИБ подразделениям ИТ. В результате образуется эффективная и понятная система с четким разделением ответственности и обязанностей и, что немаловажно, экономия денег. При российском подходе к созданию подразделений по ИБ данные подразделения фактически выполняют только функцию технической защиты конфиденциальной информации и не ведут основную работу - информационно-аналитическую. Она включает в себя системное получение, анализ и накопление информации с элементами прогнозирования по вопросам ИБ организации и
на этой основе - разработку и внедрение рекомендаций о правомерной защите от противоправных посягательств.
Таким образом, в настоящее время актуальными являются две основные проблемы управления ИБ в России: отсутствие системного подхода к решению вопроса ИБ и неправильная (неэффективная) организация подразделений по ИБ.
Наиболее перспективным подходом, с точки зрения создания полноценной СУИБ, на наш взгляд, является внедрение в организации постоянно действующей технической комиссий (ПДТК) по ИБ, в которую будут входить сотрудники из разных отделов. Такой подход позволяет реализовать принцип системности (комплексности) в управлении ИБ.
Понятие системности заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла информационной системы. При этом все средства, методы и мероприятия, используемые для защиты информации, объединяются в единый целостный механизм - систему защиты.
Сегодня специалисты из самых разных областей знаний так или иначе вынуждены заниматься вопросами обеспечения ИБ. Каждый из специалистов по своему решает задачу обеспечения ИБ и применяет свои способы и методы для достижения заданных целей. Самое интересное, что при этом каждый из них в своем конкретном случае находит свои совершенно правильные решения. Однако, как показывает практика, совокупность таких правильных решений не дает в сумме положительного результата - система безопасности в общем и целом работает неэффективно. Если собрать всех специалистов вместе, то при наличии у каждого из них огромного опыта и знаний создать систему информационной безопасности так и не удается. Разговаривая об одних и тех же вещах, специалисты зачастую не понимают друг друга, поскольку у каждого из них свой подход, своя модель представления системы защиты информации. Такое положение дел обусловлено отсутствием системного подхода, который определил бы взаимные связи (отношения) между существующими понятиями, определениями, принципами, способами и механизмами защиты.
Решить подобную проблему призвана предлагаемая нами ПДТК. Комиссия предназначена для выработки рекомендаций руководству организации, направленных на надежное и эффективное управление системой ИБ, ее функционирование, своевременное выявление и закрытие возможных каналов утечки инфор-
мации, организацию и координацию работ по совершенствованию системы физической и технической защиты и др.
Ниже приведены оптимальный, на наш взгляд, состав ПДТК, ее организационно-правовой статус и перечень задач, которые она должна решать.
Состав ПДТК должен состоять из:
- директора (заместителя директора) или руководителя, непосредственно подчиненного главе организации;
- начальника (заместителя начальника) службы информационной безопасности (на некоторых предприятиях он руководит физической, а иногда и технической службами охраны);
- начальника (заместителя начальника) отдела кадров;
- аналитика;
- юриста;
- начальников (заместителей начальников) отделов, в функции которых входит взаимодействие со сторонними организациями;
- специалистов в области обеспечения безопасности, экономической разведки, промышленной контрразведки;
- технических специалистов, умеющих применять специальную технику для защиты помещений.
Организационно-правовой статус ПДТК означает, что, во-первых, ПДТК должна подчиняться тому лицу, которое в данном учреждении несет персональную ответственность за соблюдение правил обращения с защищаемой информацией; во-вторых, штатный состав ПДТК не должен иметь других обязанностей, связанных с функционированием информационной системы.
ПДТК должна отвечать за:
- разработку и издание правил (инструкций и указаний) по обеспечению безопасности, соответствующих общим правилам работы организации и требованиям к обработке информации;
- внедрение программы обеспечения безопасности, включая классификацию степени секретности информации (если таковая имеется) и оценку деятельности;
- разработку и обеспечение выполнения программы обучения и ознакомления с основами ИБ в масштабах организации;
- разработку и сопровождение перечня минимальных требований к процедурам контроля за доступом ко всем компьютерным системам, независимо от их размера;
- отбор, внедрение, проверку и эксплуатацию соответствующих методик планирования восстановления работы для всех подраз-
делений организации, принимающих участие в автоматизированной обработке самой важной информации;
- разработку и внедрение процедур пересмотра правил обеспечения ИБ, а также рабочих программ, предназначенных для поддержки правил, инструкций, стандартов и указаний организации;
- участие в описании, конструировании, создании и приобретении систем в целях соблюдения правил безопасности при автоматизации производственных процессов;
- изучение, оценку, выбор и внедрение аппаратных и программных средств, функций и методик обеспечения ИБ, применимых для компьютерных систем организации.
Типовой перечень конкретных задач ПДТК отражает основную задачу управления ИБ организации - она определяет направления развития и поддержки усилий организации, направленных на защиту информации от несанкционированного ознакомления, изменения, разрушения или отказа в доступе. Это достигается путем внедрения соответствующих правил, инструкций и указаний.
Выявленные в данной статье проблемы российских организаций в области управления ИБ, их специфика и ориентация на мировые достижения в управлении ИБ позволяют нам предложить своевременный и эффективный способ решения этих проблем - внедрение системного подхода в управление ИБ и ПДТК, причем внедрение системного подхода невозможно без нормальной организации работы ПДТК. Соблюдение этих мер, в свою очередь, обеспечивает надежное сохранение результатов деятельности современного предприятия, что так необходимо ему в динамически изменяющихся условиях рынка.
1. Курило А.П. и др. Обеспечение информационной безопасности бизнеса. - М.: Издат. группа «БДЦ-пресс», 2005. - 215 с.
2. Информационная безопасность распределенных систем. Рекомендации X.800. - URL: http://www.intuit.ru/department/security/secbasic s^^.html.
3. Федеральный закон РФ от 27 июля 200б г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Правовая справочно-информационная система «КонсультантПлюс».
4. ISO/IEC 27001-2005 Information technology. Security techniques. Information security management systems. - URL: http://www.iso.org/ iso/catalogue_detail.htm?csnumber=42103.
5. ISO/IEC IS 15288-2002 Systems engineering. System Life Cycle Processes. - URL: http://www.iso.org/iso/catalogue_detail.htm?csnu mber=27166.
6. Доктрина информационной безопасности Российской Федерации, утвержденная Президентом РФ 9 сентября 2000 г. // Правовая справочно-информационная система «Консуль-тантПлюс».
7. Елиферов В.Г., Репин В.В. Бизнес-процессы: Регламентация и управление: учебник.
- М.: ИНФРА-М, 2004. - З19 с.
8. ГОСТ Р ИСО 9000-2001 «Системы менеджмента качества. Основные положения и словарь» - URL: http://www.unilib.neva.ru/dl/ quality/std/gsriso9000200 і .html.
9. БР ИББС-і.0-2006 «Обеспечение ин-
формационной безопасности организаций банковской системы РФ. Общие положения». -URL: http: //www .docload. spb. ru/Base sdoc/4 8/
48091/index.htm.
