Разработка и внедрение эффективных политик информационной безопасности

В настоящей статье речь пойдет о существующих подходах к разработке эффективных ПБ, без которых невозможно создание комплексной системы обеспечения ИБ организации. Как будет показано, эффективность ПБ определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения ИБ, изложенные ниже, а также правильностью и законченностью процесса внедрения.

Введение

Не секрет, что дела с обеспечением ИБ в большинстве российских компаний обстоят не лучшим образом. Общение со специалистами и результаты статистических исследований только укрепляют это мнение. Большинство организаций регулярно терпят убытки, связанные с нарушением ИБ, не способны оценить ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками ИБ. Большинство специалистов-практиков даже не берутся за эту «непосильную» задачу, предпочитая руководствоваться при решении проблем ИБ исключительно собственным опытом и интуицией. Убытки от нарушений ИБ могут выражаться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п. Убытки могут также выражаться и вполне конкретными «круглыми суммами», например, когда речь идет о мошенничестве в финансовой сфере с использованием компьютерных систем.

Инвестиции, сделанные организациями в обеспечение ИБ, в виде приобретаемых средств защиты информации, оплаты труда специалистов, затрат на проведение внешнего аудита ИБ и т.п., которые неуклонно растут из года в год, зачастую не окупаются. Происходит это главным образом потому, что большинство организаций продолжают придерживаться фрагментарного подхода к решению проблем ИБ, который оправдывает себя только при условии слабой зависимости организации от ИТ и низкого уровня рисков ИБ. Не является открытием тот факт, что адекватный уровень ИБ в организации может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование как программно-технических, так и организационных мер защиты на единой концептуальной основе. Причем организационные меры играют существенно более важную роль и в среднем должны составлять более 60% усилий в этом направлении. Эффективность любых самых сложных и дорогостоящих программно-технических механизмов защиты может быть сведена к нулю, в случае игнорирования пользователями ИС элементарных правил парольной политики или нарушения сетевыми администраторами установленных процедур предоставления доступа к ресурсам корпоративной сети. Даже установка дорогостоящих МЭ не решает проблемы защиты внешнего периметра сети в  отсутствии адекватно реализованной политики МЭ.

Политики безопасности (ПБ) лежат в основе организационных мер защиты информации. От их эффективности в наибольшей степени зависит успешность любых мероприятий по обеспечению ИБ. Часто приходится сталкиваться с неоднозначностью понимания термина «политика безопасности». В современной практике обеспечения ИБ термин «политика безопасности» может употребляться как в широком, так и в узком смысле слова. В широком смысле, ПБ определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под ПБ обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер, либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ. Примерами таких документов могут служить «Политика управления паролями», «Политика управления доступом к ресурсам корпоративной сети», «Политика обеспечения ИБ при взаимодействии с сетью Интернет» и т.п. Использование нескольких специализированных нормативных документов обычно является предпочтительней создания «Общего руководства по обеспечению ИБ организации». Например, в компании Cisco Systems, Inc. стараются, чтобы размер ПБ не превышал 2 страниц. В редких случаях размер ПБ может достигать 4-5 страниц (3). По опыту автора содержательная часть типовой русскоязычной ПБ обычно не превышает 7 страниц. Этот подход, однако, не противоречит и созданию объемных Руководств, Положений и Концепций по обеспечению ИБ, содержащих ссылки на множество специализированных ПБ и увязывающих их в единую систему организационных мер по защите информации.

В настоящей статье речь пойдет о существующих подходах к разработке эффективных ПБ, без которых невозможно создание комплексной системы обеспечения ИБ организации. Как будет показано, эффективность ПБ определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения ИБ, изложенные ниже, а также правильностью и законченностью процесса внедрения.

Примеры неудачных политик

Для того чтобы продемонстрировать, каким образом неэффективные политики безопасности, либо их отсутствие, делают систему обеспечения ИБ неработоспособной, начнем с рассмотрения простых примеров неудачных (неэффективных) ПБ. На этих примерах мы увидим, что неудачные ПБ (не соответствующие критериям эффективности, сформулированным в настоящей статье), приводят к снижению производительности труда пользователей ИС и, создавая иллюзию «ложной защищенности», только ухудшают общее положение дел с обеспечением ИБ в организации.

Кража оборудования

Производитель электроники приобрел очень дорогостоящее тестовое оборудование для использования в производстве. Отдел безопасности решил, что для обеспечения сохранности этого оборудования необходимо ограничить доступ к нему всего несколькими сотрудниками. На входе в помещение с оборудованием были установлены дорогостоящие электронные замки со смарт-картами. Только старшему менеджеру были выданы ключи от этого помещения. Для выполнения своих обязанностей, помимо старшего менеджера, доступ в помещение с оборудованием был необходим еще 10 сотрудникам, которые не имели собственных ключей и сопровождались в это помещение старшим менеджером.

Первоначально требования данной политики добросовестно выполнялись. Однако вскоре менеджеру надоело выполнять функции по сопровождению сотрудников. Производительность труда снизилась из-за того, что менеджер периодически оказывался недоступен, а кроме него некому было открывать помещение. Отдел безопасности отказался удовлетворить просьбу менеджера о выдаче дополнительных ключей. В итоге была достигнута неформальная договоренность о том, что ключи будут оставляться в ящике стола. Последствия не заставили себя долго ждать …

Однажды, когда менеджер и его сотрудники были на собрании, оборудование было похищено. Ключа тоже найти не удалось. Отдел безопасности предпринял расследование, которое, однако, успехом не увенчалось. После чего решался вопрос о наказании менеджера, ответственного за хранение ключа.

Просуммируем результаты внедрения данной политики:

1. Было потеряно дорогостоящее оборудование
2. У менеджеров и сотрудников организации сложилось крайне негативное отношение к любым мерам и политикам обеспечения безопасности
3. Ворам удалось избежать ответственности
4. Дорогостоящие меры защиты не принесли положительного результата

Данная ПБ потерпела неудачу, потому что она была неудобной для сотрудников организации,  и требования этой политики было легко обойти

Разработчики данной политики не учли ее влияние на производительность труда. Этой ошибки можно было бы избежать, если бы они вовлекли в процесс ее разработки сотрудников организации.

Отдел безопасности также не заметил (или не пожелал заметить) тот факт, что требования данной ПБ не соответствовали бизнес-процессам организации. Наличие внутреннего контроля над внедрением данной ПБ позволил бы выявить это противоречие и разработать более эффективную политику.

Утечка информации

Сетевые администраторы решили, что в их организации слишком много неиспользуемых учетных записей пользователей электронной почты и разработали ПБ, требующую для создания учетной записи пользователя подписей трех вице-президентов компании.

Запросы на создание учетных записей поступали ежедневно, а получить одновременно подписи всех трех вице-президентов было крайне затруднительно. Как правило, вице-президенты не имели представления о том, для кого создавались эти учетные записи. В результате, некоторые из них просто стали подписывать пачку пустых служебных записок и распространять их среди менеджеров.

Файлы, содержащие конфиденциальную информацию, были похищены и опубликованы в сети Интернет анонимным пользователем, что негативно отразилось на репутации компании.

Изучение журналов аудита на файловом сервере показало, что доступ к файлам, которые были скомпрометированы, был получен пользователем под именем JQPUBLIC. Дальнейшее расследование показало, что запрос на создание учетной записи JQPUBLIC был санкционирован несколько месяцев назад. Оказалось, что никто не имеет представления о том, за кем была закреплена эта учетная запись, и кем был сделан соответствующий запрос.

Просуммируем результаты внедрения данной политики:

1. Была скомпрометирована конфиденциальная информация
2. Репутация компании была подорвана
3. Злоумышленнику удалось избежать ответственности

Разработчики данной политики также как и в предыдущем случае не учли ее жизнеспособность и эффективность в бизнес цикле. Подписи, требуемые для создания учетных записей, являлись чисто формальными и не представляли практической модели идентификации пользователей. Риски, связанные с предоставлением пользователям учетных записей, не были надлежащим образом разъяснены вице-президентам, хотя это входит в обязанности любой службы безопасности.

Отдел безопасности также должен был знать о том, что пустые служебные записки распространялись, будучи уже подписанными. При наличие процедур аудита безопасности, предусматривающих проверку новых учетных записей, стало бы очевидным, что вице-президенты  не имели представления о том, для кого и когда создавались новые учетные записи. По результатам аудита существующая ПБ должна быть доработана, либо должна быть проведена разъяснительная работа с руководством организации с целью осознанного следования правилам установленной политики.

Потеря данных и оборудования

Все оборудование Web-серверов размещалось в центральной серверной комнате в головном офисе компании. Такая политики обеспечивала хороший уровень безопасности и системной поддержки. Однако с расширением диапазона предоставляемых сервисов увеличилось количество запросов на установку дополнительных серверов, которые сложно было удовлетворить.

Процедура выделение дополнительного места в серверной комнате и биллинга для различных департаментов организации была довольно сложной. В результате некоторые департаменты решили осуществлять размещение необходимых им серверов на своей территории и самостоятельно осуществлять их поддержку. Одно бизнес-подразделение, предоставляющее Web-сервисы на основе подписки, поместило свой сервер в шкаф, где хранились канцелярские принадлежности и туалетная бумага, что в один прекрасный день привело к возгоранию сервера, вызванному его перегревом. В результате сервер, а вместе с ним и часть здания были уничтожены огнем. 

Так как служба технической поддержки не отвечала за эксплуатацию данного сервера, выяснилось, что резервное копирование данных не осуществлялось уже в течение года. Существующие процедуры восстановления после аварии оказались в данном случае непригодными, клиентов, подписавшихся на данных web-сервис, идентифицировать не удалось, как не удалось определить их текущие балансы для выставления счетов на оплату услуг.

Просуммируем результаты внедрения данной политики (а точнее отсутствия четко определенной политики):

1. Часть клиентской базы была безвозвратно потеряна
2. Критичная информация была уничтожена
3. Здание и имущество организации были повреждены
4. Компания была оштрафована за нарушение правил пожарной безопасности

В данном случае руководство не осознавало важности Web-серверов и не имело ясного представления о последствиях для бизнеса в случае их потери. Доведение этих сведений до руководства организации является обязанностью службы безопасности.

Из-за того, что процедура выделения места в серверной комнате и выставления счетов за ее использование была слишком сложной, служба технической поддержки не знала о существовании дополнительных незащищенных серверов. Служба безопасности должна была располагать достаточной информацией о пользователях и системах, которые она должна защищать. Если бы стало известно о том, что производственные серверы находятся в незащищенных помещениях и их резервное копирование не производится, эта проблема могла быть эскалирована на соответствующий уровень руководства.

На протяжении двух лет не было замечено, что некоторые производственные серверы не охвачены системой резервного копирования. Если бы своевременно был проведен аудит систем подключенных к сети, то было бы установлено, что этот сервер являлся производственным, а резервное копирование данных на нем не производилось.

Факт размещения сервера в шкафу с туалетной бумагой создавал впечатление, что это оборудование не представляет ценности для организации. Обнаружив его в шкафу, вы вряд ли уделили бы ему больше внимания, чем остальным находящимся там предметам.

Резюме

Во всех приведенных выше примерах ПБ потерпели неудачу по следующим основным причинам:

1. ПБ были неудобны для сотрудников организации и оказывали негативное влияния на эффективность бизнес-процессов
2. Сотрудники и менеджеры не привлекались к разработке ПБ, требования политики не были согласованы со всеми заинтересованными сторонами
3. Сотрудники и руководство организации не были осведомлены о причинах, обуславливающих необходимость выполнения правил ПБ
4. Контроль выполнения ПБ в ходе их внедрения не осуществлялся
5. Аудит безопасности не проводился
6. Правила ПБ не пересматривались

Теперь самое время поискать аналогичные примеры неудачных ПБ в вашей организации.

Анализ перечисленных выше причин, позволяет определить основные факторы, влияющие на эффективность разработки и внедрения ПБ. Игнорирование хотя бы одного из этих факторов способно привести проект внедрения ПБ к неудачному исходу.

Факторы, определяющие эффективность политики безопасности

Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.

При разработке ПБ, которая «не рухнет под своим собственным весом», следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.

Безопасность препятствует прогрессу

Меры безопасности накладывают ограничения на действия пользователей и администраторов ИС и в общем случае приводят к снижению производительности труда. Безопасность является затратной статьей для организации, как и любая другая форма страхования рисков.

Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.

Представьте себе ситуацию ожидания переключения сигнала светофора. Очевидно, что светофор предназначен для обеспечения безопасности дорожного движения, однако если движение по пересекаемой дороге отсутствует, то это ожидание выглядит утомительной тратой времени. Человеческое терпение имеет предел  и если светофор долго не переключается, то у многих возникает желание проехать на красный. В конце концов, светофор может быть неисправен, либо дальнейшее ожидание является неприемлемым.

Аналогично, каждый пользователь ИС обладает ограниченным запасом терпения, в отношении следования правилам политики безопасности, достигнув которого он перестает эти правила выполнять, решив, что это явно не в его интересах (не в интересах дела).

Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда «кто-то начинает двигаться на красный свет».

Следует учитывать и минимизировать влияние ПБ на производственный процесс, соблюдая принцип разумной достаточности.

Навыки безопасного поведения приобретаются в процессе обучения

В отличие, скажем, от инстинкта самосохранения, обеспечение ИБ не является инстинктивным поведением. Это функции более высокого уровня, требующие обучения и периодического поддержания.

Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи ИС могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего, будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, надо посмотреть сначала налево, а потом – направо). В отличие от инстинктивного, это пример сознательного поведения.

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированным с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или с ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации.

Следует проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.

Нарушения политики безопасности являются неизбежными

В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования ПБ отнюдь не являются очевидными. Чем сложнее пользователям ИС приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования ПБ наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся.

Необходимо осуществлять непрерывный контроль выполнения правил ПБ как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах.

Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности.

Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться

Даже если вам удалось разработать и внедрить эффективную политику безопасности, работа на этом не заканчивается. Обеспечение ИБ – непрерывный процесс. Технологии стремительно изменяются, существующие системы устаревают, а многие процедуры со временем теряют эффективность. Политики безопасности должны непрерывно совершенствоваться для того, чтобы оставаться эффективными.

Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться.

Рекомендации по разработке и внедрению эффективных политик

Учет основных факторов, влияющих на эффективность ПБ, определяет успешность ее разработки и внедрения. Приведенные ниже рекомендации содержат основные принципы создания эффективных политик. 

Минимизация влияния политики безопасности на производственный процесс

Внедрение ПБ практически всегда связано с созданием некоторых неудобств для сотрудников организации и снижением производительности бизнес процессов. (Однако правильная система мер ИБ повышает эффективность бизнес процессов организации за счет значительного повышения уровня ИБ, являющегося одним из основных показателей эффективности). Влияние мер ИБ на бизнес процессы необходимо минимизировать. В то же время не стоит стремиться сделать меры ИБ абсолютно прозрачными. Для того чтобы понять, какое влияние политика будет оказывать на работу организации, и избежать «узких мест», следует привлекать к разработке этого документа представителей бизнес подразделений, служб технической поддержки и всех, кого это непосредственно коснется.

ПБ – продукт коллективного творчества. Рекомендуется включать в состав рабочей группы следующих сотрудников организации (2):

• руководителя высшего звена;
• руководителя, ответственного для внедрение и контроль выполнения требований ПБ;
• сотрудника юридического департамента;
• сотрудника службы персонала;
• представителя бизнес пользователей;
• технического писателя;
• эксперта по разработке ПБ.

В состав рабочей группы может входить от 5 до 10 человек. Размер рабочей группы зависит от размера организации и широты проблемной области, охватываемой ПБ.

Непрерывность обучения

Обучение пользователей и администраторов информационных систем является важнейшим условием успешного внедрения ПБ. Только сознательное выполнение требований ПБ приводит к положительному результату. Обучение реализуется путем ознакомления всех пользователей с ПБ под роспись, публикации ПБ, рассылки пользователям информационных писем, проведения семинаров и презентаций, а также индивидуальной разъяснительной работы с нарушителями требований ПБ. В случае необходимости на нарушителей безопасности налагаются взыскания, предусмотренные ПБ и правилами внутреннего распорядка.

Пользователи информационных систем должны знать кого, в каких случаях и каким образом надо информировать о нарушениях ИБ. Однако это не должно выглядеть как доносительство. Контактная информация лиц, отвечающих за реагирование на инциденты, должна быть доступна любому пользователю.

Непрерывный контроль и реагирование на нарушения безопасности

Контроль выполнения правил ПБ может осуществляться путем проведения плановых проверок в рамках мероприятий по аудиту ИБ.

В организации должны быть предусмотрены меры по реагированию на нарушение правил ПБ. Эти меры должны предусматривать оповещение об инциденте, реагирование, процедуры восстановления, механизмы сбора доказательств, проведения расследования и привлечения нарушителя к ответственности. Система мер по реагированию на инциденты, должна быть скоординирована между ИТ-департаментом, службой безопасности и службой персонала.

Политики должны по возможности носить не рекомендательный, а обязательный характер. Ответственность за нарушение политики должна быть четко определена. За нарушение ПБ должны быть предусмотрены конкретные дисциплинарные, административные взыскания и материальная ответственность.

Постоянное совершенствование политик безопасности

ПБ не является набором раз и навсегда определенных прописных истин. Не следует пытаться путем внедрения ПБ решить сразу все проблемы ИБ. Политика является результатом согласованных решений, определяющих основные требования по обеспечению ИБ и отражающих существующий уровень понимания этой проблемы в организации. Для того чтобы оставаться эффективной ПБ должна периодически корректироваться. Должна быть определена ответственность за поддержание ПБ в актуальном состоянии и назначены интервалы ее пересмотра. Политика должна быть простой и понятной. Следует избегать усложнений, которые сделают политику неработоспособной. По этой же причине она не должна быть длинной. Иначе большинство пользователей не смогут дочитать ее до конца, а, если и дочитают, то не запомнят о чем в ней говорится.

Поддержка руководства организации

На этапе внедрения ПБ решающее значение имеет поддержка руководства организации. ПБ вводится в действие приказом руководителя организации и процесс ее внедрения должен находится у него на контроле. В ПБ должна быть явным образом прописана озабоченность руководства вопросами обеспечения ИБ. Со стороны координатора рабочей группы по разработке ПБ руководству организации должны быть разъяснены риски, возникающие в случае отсутствия ПБ, а предписываемые ПБ меры обеспечения ИБ должны быть экономически обоснованны.

Жизненный цикл политики безопасности

Разработка ПБ – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Эта ответственность обычно концентрируется на руководителе Отдела информационной безопасности, Главном офицере по информационной безопасности (CISO), Главном офицере безопасности (CSO), ИТ-директоре (CIO), либо на руководителе Отдела внутреннего аудита. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, который состоит из пяти последовательных этапов, описанных ниже.

1. Первоначальный аудит безопасности

Аудит безопасности – это процесс, с которого начинаются любые планомерные действия по обеспечению ИБ в организации. Он включает в себя проведение обследования, идентификацию угроз безопасности, ресурсов, нуждающихся в защите и оценку рисков. В ходе аудита производится анализ текущего состояния ИБ, выявляются существующие уязвимости, наиболее критичные области функционирования и наиболее чувствительные к угрозам ИБ бизнес процессы.

2. Разработка

Аудит безопасности позволяет собрать и обобщить сведения, необходимые для разработки ПБ. На основании результатов аудита определяются основные условия, требования и базовая система мер по обеспечению ИБ в организации, позволяющих уменьшить риски до приемлемой величины, которые оформляются в виде согласованных в рамках рабочей группы решений и утверждаются руководством организации.

Разработка ПБ с нуля не всегда является хорошей идеей. Во многих случаях можно воспользоваться существующими наработками (3), ограничившись адаптацией типового комплекта ПБ к специфическим условиям своей организации. Этот путь позволяет сэкономить многие месяцы работы и повысить качество разрабатываемых документов. Кроме того, он является единственно приемлемым в случае отсутствия в организации собственных ресурсов для квалифицированной разработки ПБ.

3. Внедрение

С наибольшими трудностями приходится сталкиваться на этапе внедрения ПБ, которое, как правило, связано с необходимостью решения технических, организационных и дисциплинарных проблем. Часть пользователей могут сознательно, либо бессознательно сопротивляться введению новых правил поведения, которым теперь необходимо следовать, а также программно-технических механизмов защиты информации, в той или иной степени неизбежно ограничивающих их свободный доступ к информации. Администраторов ИС может раздражать необходимость выполнения требований ПБ, усложняющих задачи администрирования. Помимо этого могут возникать и чисто технические проблемы, связанные, например, с отсутствием в используемом ПО функциональности, необходимой для реализации отдельных положений ПБ.

На этапе внедрения необходимо не просто довести содержание ПБ до сведения всех сотрудников организации, но также провести обучение и дать необходимые разъяснения сомневающимся, которые пытаются обойти новые правила и продолжать работать по старому.

Чтобы внедрение завершилось успешно, должна быть создана проектная группа по внедрению ПБ, действующая по согласованному плану в соответствии с установленными сроками выполнения работ.

4. Аудит и контроль

Соблюдение положений ПБ должно являться обязательным для всех сотрудников организации и должно непрерывно контролироваться. Рассмотрение различных форм и методов контроля, позволяющих оперативно выявлять нарушения безопасности и своевременно реагировать на них, выходят за рамки данной статьи.

Проведение планового аудита безопасности является одним из основных методов контроля  работоспособности ПБ, позволяющего оценить эффективность внедрения. Результаты аудита могут служить основанием для пересмотра некоторых положений ПБ и внесение в них необходимых корректировок.

5. Пересмотр и корректировка

Первая версия ПБ обычно не в полной мере отвечает потребностям организации, однако понимание этого приходит с опытом. Скорее всего, после наблюдения за процессом внедрения ПБ и оценки эффективности ее применения потребуется осуществить ряд доработок. В дополнение к этому, используемые технологии и организация бизнес процессов непрерывно изменяются, что приводит к необходимости корректировать существующие подходы к обеспечению ИБ. В большинстве случаев ежегодный пересмотр ПБ является нормой, которая устанавливается самой политикой.

Выводы

Адекватный уровень ИБ в современной организации может быть обеспечен только на основе комплексного подхода, реализация которого начинается с разработки и внедрения эффективных ПБ. Эффективные ПБ определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации. Для того чтобы ПБ оставалась эффективной, необходимо осуществлять непрерывный контроль ее исполнения, повышать осведомленность сотрудников организации в вопросах ИБ и обучать их выполнению правил, предписываемых ПБ. Регулярный пересмотр и корректировка правил ПБ необходимы для поддержания ее в актуальном состоянии.

Разработка и внедрение ПБ в организации – процесс коллективного творчества, в котором должны участвовать представители всех подразделений, затрагиваемых производимыми изменениями. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, включающего в себя проведение аудита безопасности, разработку, согласование, внедрение, обучение, контроль исполнения, пересмотр и корректировку ПБ.

Для разработки эффективной ПБ, помимо профессионального опыта, знания нормативной базы в области ИБ и писательского таланта, необходимо также учитывать основные факторы, влияющие на эффективность ПБ, и следовать основным принципам разработки ПБ, к числу которых относятся: минимизация влияния на производительность труда, непрерывность обучения, контроль и реагирование на нарушения безопасности, поддержка руководства организации и постоянное совершенствование ПБ.

Ссылки

1. Why security policies fail, White Paper, Control Data Systems, Inc.
2. The SANS Policy Primer, Copyright 2001 – Michele D. Guel “Proven Practices for Managing the Security Function”

Александр Астахов, CISA, 2003