Роль информационной безопасности в обеспечении эффективного управления современной компанией (А. Громов, А. Коптелов, "Финансовая газета", N 24, июнь 2004 г.)

Роль информационной безопасности в обеспечении
эффективного управления современной компанией

В последние годы особое внимание уделяется вопросам информационной безопасности, поскольку случаи потери и кражи информации приводят к краху компании или утрате конкурентных преимуществ на рынке. За последние пять лет участились случаи краж интеллектуальной собственности, одновременно корпоративные сети все чаще подвергаются нападениям со стороны недовольных или нелояльных сотрудников внутри организаций. Монопольное владение конкретной информацией предоставляет конкурентные преимущества на рынке, однако это в свою очередь должно способствовать повышению внимания к построению систем защиты. Защита информации от кражи, изменения или уничтожения приобрела сейчас первоочередное значение.

Не менее важной является задача предотвращения последствий или рисков от информационной атаки, спланированной и проводимой по разработанному сценарию конкурентами. Последствиями подобной атаки могут явиться как прямые потери от коммерчески необоснованного решения, так и затяжные судебные тяжбы для доказательства собственной непричастности или невиновности.

Необходимо различать информационную безопасность и безопасность информации: в одном случае надо защищать информацию, а в другом - защищаться от информации.

Итак, информационная безопасность становится неотъемлемой частью общей безопасности предприятия, но, несмотря на прогресс в данной области, информационная безопасность понимается под разными углами зрения. Рассмотрим некоторые из них.

Информационная безопасность - это чисто техническая проблема, и ею должны заниматься ИТ-специалисты.

Сегодня на рынке услуг информационной безопасности существует множество специализированных решений, поэтому часто эти работы поручают специалистам ИТ-подразделений. Эта практика приводит к построению системы информационной безопасности, направленной на достижение целей ИТ-подразделений. В результате бизнес-подразделения утрачивают возможность рационального ведения бизнеса. Мероприятия по обеспечению информационной безопасности часто не принимаются сотрудниками бизнес-подразделений, поскольку они не могут эффективно собирать информацию и обмениваться ею, что тормозит процесс развития компании. Чтобы решить данные вопросы, создание системы информационной безопасности нужно начинать с анализа целей и требований бизнеса. Для этого необходимо привлекать сотрудников бизнес-подразделений. "Безопасность - это не просто один из компонентов ИТ, - отметил Крис Апгар, отвечающий в компании Providence Health Plans за информационную безопасность. - это культура и процесс, процедура и установка". Для поддержки системы информационной безопасности в компании необходимо выделить ответственного за информационную безопасность и определить комитет по информационной безопасности во главе с генеральным директором.

Реализовав некоторое техническое решение, можно решить проблему информационной безопасности.

Проблема информационной безопасности является не только технической, но и управленческой. Большинство рисков информационной безопасности можно минимизировать с помощью управленческих решений, рассматривая эти риски в качестве операционных, а остальные - с помощью программных и аппаратных средств.

Под риском понимается возможность возникновения негативного события. Причем соотношение между управленческими и остальными решениями может быть один к одному. Следовательно, внедряя только техническое решение, мы не контролируем полноту защиты информации в компании, а идем на поводу у поставщиков систем, которые убеждают, что компании это необходимо. "Я могу иметь в своем распоряжении самые совершенные средства, изобретенные человечеством, но, если люди не понимают основ, я потрачу на безопасность миллионы, но не получу никакого результата", - заметил Крис Апгар.

Информационная безопасность должна давать гарантию того, что достигаются следующие цели:

конфиденциальность информации, критически важной для организации или для принятия решения;

целостность информации и связанных с ней процессов (создание, ввод, обработка и вывод);

оперативная доступность информации в любой момент;

возможность накопления информации, т.е. сохранения предшествующих вариантов;

минимизация рисков путем выполнения компенсационных мероприятий;

учет всех процессов, связанных с информацией.

Установка технического решения без предварительной оценки рисков, целей информационной безопасности и ее влияния на бизнес-процессы может привести к отрицательному влиянию на эти процессы и потере контроля над ними.

При построении системы информационной безопасности нужно минимизировать все риски.

Перечень рисков информационной безопасности достаточно объемный. Возникает вопрос, нужно ли защищаться от всех рисков. Данный вопрос решается очень просто, если при определении и оценке риска учитывать три параметра: угроза (вероятность отрицательного воздействия), уязвимость (уровень текущей защиты от отрицательного воздействия), убыток (нанесение урона или создание такой возможности). Угрозы для организации исходят как изнутри (недовольные сотрудники), так и снаружи (присутствие лазеек в защите). Уязвимости появляются из-за неэффективного управления компанией и недоработок в информационных системах.

Оценивая риски, по данным параметрам можно получить перечень особо опасных рисков, к минимизации которых необходимо приступать немедленно и при минимизации которых повысится уровень безопасности организации. Фактически речь идет лишь о понимании того, сколько риска организация готова взять на себя и какому риску она подвергается в действительности.

Что делать с оставшимися рисками? Скорее всего, их минимизация не требуется, поскольку стоимость мероприятий по их минимизации может превысить убытки от данных рисков. Следовательно, основной задачей является определение логической границы между рисками, требующими минимизации, и остаточными рисками. В начале построения системы информационной безопасности данная граница может иметь высокий уровень, дальнейшее понижение этой границы возможно при проведении работ по информационной безопасности, но необходимо определить тот момент, когда ее дальнейшее понижение станет убыточным для организации. Иначе возможен переход в состояние, когда мероприятия по защите информации будут работать сами на себя. Для оценки данной границы необходимо четко оценивать свои ресурсы и возможные расходы.

Информационная безопасность обходится весьма дорого.

Как правило, для выполнения мероприятий по информационной безопасности требуются достаточно большие ресурсы, но очень часто не учитывается направленность этих мероприятий на конкретный результат, т.е. на минимизацию наиболее вероятных рисков. В результате организация защищается от всех рисков, несмотря на стоимость мероприятий по защите и возможные убытки. При данном подходе излишние мероприятия в той или иной степени негативно отражаются на ее деятельности, поэтому, прежде чем вкладывать деньги в безопасность, необходимо оценить получаемые экономические выгоды.

Для уменьшения стоимости системы информационной безопасности следует в первую очередь выполнять только те мероприятия, которые направлены на минимизацию наиболее вероятных и опасных рисков. Это позволяет направить финансовые ресурсы на повышение уровня информационной безопасности и четко отслеживать эффективность данных вложений. Для оценки эффективности вложений необходимо просчитывать возможные финансовые убытки хотя бы экспертным путем, поскольку более эффективных по цене/качеству методов расчета не существует.

Вполне возможно, что определенные группы рисков проще страховать, чем минимизировать. Оценка стоимости мероприятий, ущерба и страховки поможет принять верное решение. Очевидно, что в результате объем инвестиций должен быть меньше, чем потери от фактических рисков.

Построение системы информационной безопасности можно поручить интегратору технических решений в данной области.

В настоящее время интеграторы технических решений в области информационной безопасности предлагают различные услуги в данном направлении, но, как правило, эти услуги формируются от технического продукта, что не обеспечивает полноту системы и позволяет решать только отдельные вопросы информационной защиты. В редких случаях проводится полноценный анализ рисков с экспертной оценкой угроз, уязвимостей и убытков, который дает возможность выделить области, которые необходимо защищать в первую очередь. Внедрение технического решения без предварительной оценки рисков и выработки необходимых мероприятий в совокупности с изменением бизнес-процессов не дает полноты системы информационной защиты.

Система информационной безопасности может быть построена без внесения коренных изменений в деятельность компании.

Эффективная система информационной безопасности должна быть встроена в деятельность компании, иначе ее эффективность будет минимальной. Для построения данной системы требуются перестроение бизнес-процессов компании и добавление функций обеспечения и контроля информационной защиты. Как правило, возникает необходимость регламентировать определенные процедуры, описать изменения в бизнес-процессах и определить ответственность исполнителей. Помимо этого необходимо предусмотреть тренинги и обучение по вопросам информационной безопасности, причем проводить их следует на постоянной основе. Часто для выполнения мероприятий по минимизации рисков требуются доработки, а иногда и внедрение специализированных информационных систем и технических решений. Причем на данных этапах необходимо привлечение интеграторов технических решений в области информационной безопасности и хранения документов.

Система информационной безопасности не требует постоянной корректировки.

Допустим, что политика информационной безопасности сформулирована и утверждена, риски собраны и оценены, выполняются мероприятия по их минимизации. Но внешняя среда компании меняется, появляются новые риски, исчезают старые. Для обеспечения адекватности системы информационной безопасности текущему состоянию внешней среды необходимо производить периодическую переоценку рисков. Помимо реакции на изменения внешней среды переоценка рисков должна обеспечивать контроль над эффективностью выполняемых мероприятий по обеспечению информационной безопасности.

Чем больше запретительных мер, тем лучше система информационной безопасности.

Во многих компаниях системы информационной безопасности строятся на принципе "все запретить", что вызывает неудобства в работе сотрудников, но главное - это может служить причиной замедления развития компании, поскольку корпоративные знания перестают быть доступными. Необходимо находить золотую середину между ограничениями, связанными с мероприятиями информационной безопасности, и свободой обмена информацией внутри и вне компании. Главное, чтобы безопасность из средства не превратилась в цель. Часто вместо того, чтобы придерживаться принципа, подразумевающего сохранение текущей ситуации всегда, когда это допустимо, сотрудники, отвечающие за информационную безопасность, занимают формальную позицию и по максимуму минимизируют возможности пользователей.

Как правило, большое количество "запретительных" мероприятий порождает способы обмена информацией в обход защищенных каналов, что сводит все усилия по обеспечению защиты информации на нулевой уровень эффективности, т.е. бизнес-процессы компании перестраиваются, обходя все "запретительные" мероприятия.

Основные угрозы для компании находятся за ее пределами.

Часто главные линии защиты выстраиваются на "границе" организации (межсетевые экраны, контрольно-пропускные пункты и т.д.), что создает видимость безопасности. Однако статистика нарушений показывает, что основные нарушения (около 70%) в области информационной безопасности совершаются сотрудниками компании либо лицами, работавшими в ней. Это значит, что все построенные периметры защиты фактически бесполезны и основной источник опасности находится внутри организации. Получается, что при построении системы информационной безопасности необходимо защищать информацию не только от внешних угроз, но и от внутренних. Фактически требуется построение как внутреннего "периметра" защиты, так и внешнего. Обеспечение информационной защиты внутри компании является наиболее сложной задачей, при этом необходимы классификация информации, определение категорий конфиденциальности, четкое разграничение прав доступа и прав владения информацией в компании. Как правило, в рамках данных работ следует внедрять информационные системы, направленные на решение этой задачи, без которых нельзя эффективно управлять доступом к информации.

Основные риски находятся в информационных системах.

Многие системы информационной безопасности создаются от рисков несанкционированного доступа к информационным системам путем взлома. Например, при аутентификации пользователя в систему закладывается многозначный код, который пользователь не в силах запомнить. Но данный код пишется на листочке и в лучшем случае носится с собой. В результате взломать код фактически невозможно, а "взломать" место хранения проще простого. Этот пример показывает, что прочность системы равна прочности ее самого слабого звена, т.е. основные риски находятся в действиях и поведении сотрудников, а не в информационных системах. Поэтому при формировании перечня рисков необходимо провести экспресс-обследование компании, причем нужно рассматривать проблему с точек зрения различных подразделений и экспертным путем оценить опасность рисков. Конечно, в экспертной оценке присутствует некоторая неточность, но она не влияет на определение приоритетов.

Создание политики безопасности вполне достаточно для обеспечения информационной безопасности.

Политику безопасности необходимо формировать для создания системы информационной безопасности, но это только вершина айсберга. Политику нужно исполнять, что является кропотливой ежедневной работой. Многие организации ограничиваются формальным подходом, но это не решает проблемы информационной безопасности. Следует построить эффективные процессы по управлению рисками, планированию, исполнению и контролю мероприятий информационной безопасности. Без эффективных процессов система будет носить декларативный характер.

В заключение важно отметить, что построение эффективной системы информационной безопасности в компании - это сложный и непрерывный процесс, от внимания к которому зависит жизнеспособность бизнеса. Для грамотного построения такой системы необходимо привлекать к участию в ее создании топ-менеджмент компании, ИТ-специалистов, консультантов по данной тематике, технических специалистов.

Можно выделить три основных момента, которые неизбежно возникнут при построении системы информационной безопасности:

создание эффективного механизма управления доступом к информации, т.е. решение таких вопросов, как разграничение доступа и определение его методов. При этом необходимо понимать, что методы доступа к информации определяются характеристиками самой информации и сегодня оцениваются для российских условий как: 3-5% структурированной информации, 5-12% неструктурированной и 80-90% информации на бумажных и прочих носителях;

проведение инвентаризации и классификации информации в организации, при этом необходимо разработать систему классификаторов;

создание системы управления рисками и мероприятиями по их минимизации.

Мероприятия по информационной безопасности могут накладывать ограничения, но надо четко представлять себе необходимость данных ограничений и пытаться находить компромиссы.

А. Громов,

А. Коптелов,

Консалтинговая компания "Логика Бизнеса"

"Финансовая газета", N 24, июнь 2004 г.