У большинства российских компаний нет внятной стратегии информационной безопасности, что делает многие их меры по защите информации непродуктивными.
Мы продолжаем цикл публикаций, посвященных проблеме информационной безопасности. В одном из предыдущих выпусков "Технологий и управления" обсуждались основные угрозы информационной безопасности компании и меры по ее защите (см. "Эксперт С-З" №16 от 25 апреля 2005 года). В этом выпуске мы решили разобраться в том, как на практике строится политика информационной безопасности и с какими сложностями при этом приходится сталкиваться.

Опрос руководителей ИТ-служб и других представителей компаний показал, что менеджеры в целом адекватно представляют себе риски, возникающие в сфере информационной безопасности. На первое место в списке угроз они ставят нарушения правил работы с электронной почтой, Интернетом и внутренними коммуникациями, правил доступа к информации и ее использования - в общем, все те обстоятельства, которые подпадают под формулировку "человеческий фактор". Менее опасными, но весьма существенными менеджеры считают вирусные и хакерские атаки, а затем - технические сбои в работе системы. Однако даже при реалистичной оценке потенциальных проблем во многих случаях предприятию не удается сформировать действенную и непротиворечивую политику информационной защиты.

Принцип невмешательства
Вопрос о том, существует ли на предприятии стратегия информационной безопасности и каково основное содержание этой стратегии, мы задали представителям целого ряда компаний, но в большинстве случаев получили краткие и неинформативные ответы. Начальник ИТ-отдела крупной строительной компании ответил на этот вопрос так: "Стратегия, безусловно, существует". Еще на одном предприятии нам сообщили, что "стратегия есть, но она требует денежных затрат, умственной энергии руководителей всех рангов, наличия подготовленных пользователей и т.д. Из-за этого она плохо вписывается в общую стратегию развития бизнеса и автоматизации управления".

"Компаний с четкой стратегией обеспечения информационной безопасности - единицы", - считает директор по развитию компании "Поликом Про" Сергей Курьянов. Чаще всего речь идет не об осмысленной стратегии, а о "планах мероприятий по информационной безопасности". Поэтому-то меры защиты и выпадают из бизнес-стратегии: они направляются на решение частных, тактических задач, а не на то, чтобы поддерживать развитие производства или системы взаимоотношений с клиентами.

Поскольку за "планами" нет осмысленной политики информационной безопасности, принимаемые меры не удается связать в систему. Как говорит директор центра защиты информации компании "Конфидент" Алексей Сидоров, "часто можно видеть установленные на предприятии отдельные компоненты и средства безопасности, не сведенные в единую систему, лишенные возможности централизованного управления, внедренные без основы в виде нормативной и распорядительно-документальной базы и т.д. Подобный подход приводит, во-первых, к снижению эффективности защиты информационных ресурсов, а во-вторых, к необоснованным затратам".

Меж двух стульев
Такое положение дел - естественное следствие того, что руководство предприятия, с одной стороны, перекладывает решение вопросов информационной безопасности на ИТ-службу, а с другой - не предоставляет ее руководителю полномочий, достаточных для эффективного управления мерами защиты. ИТ-специалисты редко имеют доступ к руководству и не могут добиться того, чтобы политика защиты информации соблюдалась, а это превращает пусть даже и утвержденную руководством стратегию в набор ничего не значащих фраз. Налицо весь букет проблем, связанных с недооценкой роли ИТ-подразделения, о чем "Эксперт С-З" писал уже не раз.

Задачи обеспечения информационной безопасности в таких случаях делегируются ИТ-специалистам, но последние в силу ограниченности своих полномочий могут решать лишь технические вопросы - выбирать антивирусную программу, устанавливать ограничения на работу в Интернете, настраивать права доступа - и представлять на утверждение финансовые сметы. Топ-менеджмент утверждает предстоящие траты или урезает бюджет, не желая вникать в вопросы обеспечения безопасности. В итоге система информационной безопасности становится сугубо внутренним делом одного подразделения, а это обрекает ее на неполноценность и неэффективность.

Кроме того, оставаясь на вторых или третьих ролях, ИТ-специалисты не могут не только сформировать продуманную политику информационной безопасности, но и повлиять на рядовых пользователей системы, заставить их выполнять все требования. "На сотрудников, за редким исключением, надежды нет. Стараемся обходиться силами сисадминов", - констатирует заместитель начальника отдела системного информационного обеспечения локальных вычислительных сетей Канонерского судоремонтного завода Борис Новиков.

Базовые задачи информационной безопасности таким образом можно решить, но это приводит к одному из двух вариантов: либо на работу персонала с компьютерной техникой накладываются предельно жесткие и не всегда обоснованные ограничения, которые компенсируют прорехи в системе безопасности по другим направлениям, либо человеческий фактор все же перевешивает и деятельность ИТ-отдела превращается в сизифов труд.

Эффект коллективного действия
Успех мероприятий по информационной безопасности возможен лишь тогда, когда ИТ-служба и менеджмент вместе работают над задачами и конкретными мерами защиты. Как говорит Сергей Курьянов, "нужно защищать не информацию или инфраструктуру, а бизнес-процессы, то есть выделять важнейшие для предприятия процессы и защищать все связанные с ними данные и каналы коммуникаций, обеспечивая безопасность всех звеньев на определенном уровне".

По словам системного инженера компании "Хлебный Дом" Константина Макова, приоритетные для защиты объекты определяет руководство предприятия. На основании этих задач ИТ-служба разрабатывает политику информационной безопасности и систему мероприятий по ее реализации; все это выносится на утверждение руководства. "Политика безопасности подразумевает, что все информационные системы компании должны работать бесперебойно и согласованно с потребностями бизнеса. Исходя из этого мы и планируем комплекс необходимых мер", - говорит Маков.

При таком подходе вполне реально выстроить цельную стратегию информационной безопасности, но для этого руководство и сотрудники ИТ-службы должны наладить непрерывный диалог. По мнению Сергея Курьянова, "на предприятии должен быть запущен постоянный процесс обеспечения информационной безопасности, опирающийся на анализ рисков по отношению к критичным бизнес-процессам. В этом должны принимать участие и те, кто может вычислить или хотя бы взвесить на относительной шкале риски предприятия, и те, кто может оценить соотношение "цена/прочность" для предлагаемых на рынке технологий. В результате анализа определяется либо бюджет, необходимый для достижения заданной прочности защиты, либо уровень прочности, достижимый в рамках заданных бюджетных ограничений".

Оценка эффективности принимаемых мер - все еще больной вопрос даже для компаний, где информационной безопасности уделяется достаточно внимания. Как правило, такая оценка или вообще не производится, или является приблизительной. "Конкретного механизма оценки затрат у нас нет, - признается Константин Маков. - Составляется список задач по информационной безопасности, по ним и рассчитываются затраты. Обычно это происходит в конце года, в момент составления бюджета на будущий год". Зачастую нет и оценки убытков, которые приносят нарушения режима безопасности: такой ущерб измеряется лишь в минутах простоя системы.

Безопасность под ключ
В то же время невозможность выполнить все эти задачи собственными средствами вовсе не означает, что компанию ждет кризис системы безопасности. Проблема скорее в том, чтобы понять, в каких случаях лучше прибегнуть к услугам внешних специалистов - компаний, специализирующихся в области защиты информации. Обращение к консультантам по безопасности может быть выгодно, например, небольшим предприятиям. "Нередко обеспечение информационной защиты перекладывается на плечи единственного в компании системного администратора, который к тому же не является специалистом в данной области. А если нет собственных профессионалов, нужно привлекать сторонние компании", - считает коммерческий директор компании "БУХта" Игорь Сидоренко.

Нередко менеджмент компании принимает решение улучшить систему защиты не потому, что это остро необходимо или поможет сократить убытки в долгосрочной перспективе, а для того, чтобы подготовиться к прохождению сертификации по стандартам качества. Кроме того, наличие продуманной политики информационной безопасности может быть имиджевым ходом, который позволяет более успешно привлекать инвестиции и вести дела с партнерами (особенно это касается консалтинговых фирм). Во всех этих случаях правильно выстроить стратегию в сфере безопасности самой компании затруднительно: нужно привлекать специализированные фирмы.

Однако речь не обязательно идет о полном ИТ-аутсорсинге в сфере безопасности. Во многих компаниях работают грамотные специалисты, которые в состоянии ориентироваться на рынке защиты информации. В таком случае может быть достаточно проведения базового аудита действующей информационной системы. На основе результатов такого аудита ИТ-директор, обладающий необходимыми полномочиями, вполне может самостоятельно обнаружить в системе критические участки и дополнить общую стратегию информационной безопасности мерами по их устранению.

Комментарии: (0)   Рейтинг:
 
Профиль
Вы не вошли на сайт!
Имя:

Пароль:

Запомнить меня?


 
Статистика
Онлайн:
0 пользователей, 12 гостей :