Бизнес-информация циркулирует в сложной экосистеме, где пересекаются множество технологий, нормативных требований, стандартов, бизнес-процессов, поставщиков, угроз безопасности и уязвимостей систем, а также факторов давления со стороны рынка. Эта информация находит отражение в в сетевом потоке работ, в приложениях, базах данных и серверах. Политических границ для нее не существует. В современном мире большая часть этой информации должна отвечать трем основным принципам безопасности. Это доступность, целостность и конфиденциальность.

Доступность говорит о том, что в отведенное время информация должна быть доступна тем, кому она нужна. Целостность предполагает полноту информации и отсутствие некорректного вмешательства в ее структуру. И наконец, конфиденциальность означает, что информация защищена от неавторизованного доступа.

Перечислим меры, которыми фактически руководствуются при реализации программы корпоративной безопасности и которые обеспечивают целостный подход к организации ИТ-безопасности в компании.

1 Формирование команд, занимающихся информационной безопасностью

Джим Коллинз в своей книге «От хорошего к великому» (Jim Collins. Good to Great: Why Some Companies Make the Leap... and Others Don't. Collins, 2001) отмечает, что, отправляясь в корпоративное плавание, очень важно включить в свою команду правильных людей. И путешествие в мир корпоративной безопасности в этом смысле не является исключением. В общем случае в компании необходимо сформировать две команды: руководящий состав и межфункциональную группу безопасности. Руководящий состав отвечает за определение миссии, объектов и целей программы корпоративной безопасности и обычно состоит из представителей высшего руководства. Кроме того, эта команда занимается выработкой политик безопасности верхнего уровня, определением порогов организационных рисков, финансированием программы корпоративной безопасности, а также формированием межфункциональной группы безопасности.

Межфункциональная группа безопасности состоит из нескольких подразделений и отвечает за выполнение повседневных операций, связанных с ИТ-безопасностью. К ним относятся: управление ИТ-активами, оценка угроз и уязвимых мест, управление рисками, формирование политик, определение процедур и управляющих элементов, организация внутреннего аудита, а также проведение обучения.

2 Управление информационными активами

Управление информационными активами начинается с проведения инвентаризации. В ходе инвентаризации производится учет оборудования, приложений баз данных и других информационных активов. После завершения инвентаризации каждому активу назначается владелец или куратор. Владельцу отводится роль контактного лица для вверенного ему актива, а куратор несет ответственность за хранящуюся там информацию.

Активы разбиваются на категории с различными уровнями важности в зависимости от ценности находящейся там информации, а также ее стоимости для компании в случае, если она подвергается риску.

3 Обеспечение соответствия требованиям стандартов и регулирующих органов

Органы государственного регулирования предъявляют к организациям обязательные для выполнения требования в соответствии с действующим законодательством. На основе передового опыта и достижений, накопленных отраслью, формируются стандарты. Команда руководства определяет, выполнение каких стандартов и нормативных требований является в организации обязательным.

4 Оценка угроз, уязвимостей и рисков

Угрозы представляют собой источники опасности для информационных активов. Важное значение придается составлению перечня всех актуальных угроз, их классификации и ранжированию в зависимости от опасности, которую они в себе таят. Уязвимости — это слабые места или недоработки системы, которые в результате чьих-то случайных или преднамеренных действий открывают бреши в системе безопасности. Источниками уязвимостей могут стать человеческий фактор, процессы и технологии. Рекомендуется составить список имеющихся уязвимых мест и упорядочить их в зависимости от степени влияния на организацию.

Под рисками понимаются возможные события или условия, которые способны оказывать нежелательное воздействие на организацию. Риски появляются в результате пересечения угроз и уязвимых мест. К примеру, технологическая уязвимость приложения Microsoft Outlook в сочетании с уязвимостью, возникающей при открытии пользователем неизвестного присоединенного файла, может быть использована угрозами типа вируса Mydoom и породить риск блокирования работы вашей сети.

5 Управление рисками

Процесс управления рисками направлен на то, чтобы устранить, уменьшить или переместить риски. Все начинается с перечня рисков, которые классифицируются в соответствии с вероятностью их возникновения и степенью воздействия на организацию. Сочетание вероятности и степени воздействия определяет приоритеты рисков. Риски с высокой степенью воздействия и высокой вероятностью возникновения относят к числу наиболее приоритетных.

После того как рискам назначены приоритеты, управление ими можно осуществлять несколькими способами. К примеру, риск атаки вируса Mydoom устраняется путем замены приложения Outlook на Lotus Notes, снижается за счет установки последней версии антивирусного программного обеспечения и разъяснения людям опасности открытия подозрительных вложений и, наконец, перемещается путем заключения с провайдером соглашения о предоставлении полного спектра услуг по управлению электронной почтой.

6 Планирование контроля за происшествиями и восстановления работоспособности после сбоев

Примерами таких происшествий являются бреши в системе безопасности, непреднамеренная потеря ИТ-активов, случайное удаление критически важных данных и перебои с электропитанием в центре обработки данных. В хорошем плане четко должно быть прописано, что необходимо делать при возникновении той или иной типичной нештатной ситуации.

Реакция на возникшие катастрофические по своей природе происшествия называется планом восстановления работоспособности после сбоев.

7 Управление сторонними организациями

Сложная экосистема информации часто затрагивает сторонние организации, к которым относятся производители, поставщики и посредники. Небезопасные сети или процедуры в компаниях, чья деятельность связана с вашим бизнесом, могут порождать опасные бреши.

Для начала неплохо составить список всех сторонних компаний, с которыми поддерживает отношения ваша организация, и упорядочить этот список в соответствии с объемом совместно используемой или пересекающейся информации, а также с ее важностью. В дальнейшем следует узнать, какие меры безопасности принимаются такой компанией, и потребовать от нее организовать необходимый контроль.

8 Контроль за безопасностью

Под контролем понимается использование показателей, позволяющих снизить или исключить риски. Средства технического контроля интегрированы в компьютерное оборудование, приложения и встроенное программное обеспечение (к этой категории относятся механизмы контроля доступа, средства идентификации и аутентификации, методы шифрования, а также программное обеспечение обнаружения вторжения). К нетехническим средствам контроля относятся управляющие и операционные элементы, например политики безопасности, операционные процедуры и персонал, средства обеспечения физической безопасности и безопасности окружающей среды.

Механизмы контроля обычно подразделяются на средства профилактики и средства обнаружения. Средства профилактики способствуют поддержанию политики безопасности, а средства обнаружения предупреждают о выявленных нарушениях или попытках нарушения политики безопасности.

9 Обучение

Обучение сотрудников мерам безопасности зачастую игнорируется руководством организаций, а между тем это ключевое условие реализации программы корпоративной безопасности. Все технологические средства и показатели безопасности не имеют никакого значения, если сотрудники не соблюдают мер безопасности при работе на своих портативных компьютерах, когда подключаются к небезопасным сетям за пределами своего рабочего места и не знают признаков подозрительного поведения систем.

10 Аудит

Внутренний аудит подтверждает наличие необходимых политик и процедур и их эффективность, реализацию контрольных функций, выполнение обязательных требований органов государственного регулирования, обусловленных действующим законодательством, организацию управления рисками, регулярность обновления планов обеспечения безопасности и эффективность обучения.

Внешний аудит иногда включается в число обязательных требований, предъявляемых регулирующими органами. Внешний аудит осуществляется нейтральной независимой компанией, обеспечивая беспристрастную оценку принимаемых компанией мер и рекомендации по ликвидации брешей в системе безопасности.

Успехи проводимой политики

Информационная безопасность теперь является заботой не только ИТ-службы. С учетом возрастающей сложности экосистемы, в которой циркулирует информация, важности информации для бизнеса и растущего числа угроз принимать меры к обеспечению информационной безопасности приходится всем подразделениям организации. Эффективная программа корпоративной безопасности является отражением усилий по обеспечению глобальной информационной безопасности в масштабах всей организации.


Yesh Dattatreya. Building an enterprise security program in 10 steps. CIO.com. 15 October 2008