Менеджмент информационной безопасности на уровне предприятия: основные направления и структура политики безопасности

Предпосылки развития менеджмента в сфере информационной безопасности на уровне предприятий

Обеспечение собственной информационной безопасности на предприятиях^{1Здесь и в дальнейшем под "Предприятием" мы будем понимать любую фирму, компанию, организацию, учреждение (в том числе и государственное), имеющее определенную свободу и самостоятельность в распоряжении имеющимися финансовыми ресурсами, определении собственной организационно-штатной структуры и приоритетов в текущей деятельности.} , как правило, является неотъемлемой частью общей системы управления, необходимой для достижения уставных целей и задач. Значимость систематической целенаправленной деятельности по обеспечению информационной безопасности становится тем более высокой, чем выше степень автоматизации бизнес-процессов предприятия и чем больше "интеллектуальная составляющая" в его конечном продукте, т.е. чем в большей степени успешность деятельности зависит от наличия и сохранения определенной информации (технологий, ноу-хау, коммерческих баз данных, маркетинговой информации, результатов научных исследований и т.п.), обеспечения ее конфиденциальности и доступности для владельцев и пользователей. Роль информации и, в частности, т.н. "знаниевых активов" в деятельности предприятий возрастает по мере либерализации мировых рынков, когда материальные активы во все меньшей степени являются источниками конкурентных преимуществ в силу значительного уменьшения торговых барьеров. Нематериальные активы, существующие обычно в виде информации^{2На практике, очевидно, не все нематериальные ("знаниевые") активы существуют в виде информации. К числу таких активов относится также, например, деловая репутация, имидж и т.п.} , в этих условиях начинают играть роль одной из ведущих основ для повышения конкурентоспособности и развития бизнеса.

Обеспечение информационной безопасности также, как правило, имеет большое значение не только для стратегического развития предприятия и создания основного продукта, но и для отдельных (иногда вспомогательных) направлений деятельности и бизнес-процессов, таких как коммерческие переговоры и условия контрактов, ценовая политика и т.п.

Кроме того, значимость обеспечения информационной безопасности в некоторых случаях может определяться наличием в общей системе информационных потоков предприятия сведений, составляющих не только коммерческую, но и государственную тайну, а также другие виды конфиденциальной информации (сведения, составляющие банковскую тайну, врачебную тайну, интеллектуальную собственность компаний-партнеров и т.п.). Обеспечение информационной безопасности в этой сфере и, в частности, основные требования, организационные правила и процедуры непосредственно регламентируются федеральным законодательством, и надзор за выполнением требований осуществляется федеральными органами власти.

• Для сведений, составляющих государственную тайну – Федеральный закон РФ от 21 июля 1993 года №5485-1 "О государственной тайне" и связанные с ним подзаконные акты.
• Для сведений, составляющих банковскую тайну – Федеральный закон "О банках и банковской деятельности" и связанные с ним смежные законы и подзаконные акты.
• Для сведений, составляющих врачебную тайну – Основы законодательства РФ "Об охране здоровья граждан" (ст.61) и Закон РФ "О трансплантации органов и (или) тканей человека" (ст.14);

а также для сведений, относящихся к некоторым другим видам тайны, таких как военная тайна, нотариальная тайна, адвокатская тайна, тайна страхования, тайна усыновления, налоговая тайна, тайна следствия и судопроизводства и другие. Соответственно, лица, нарушающие требования информационной безопасности, могут быть не только подвергнуты дисциплинарным взысканиям, но и подлежат уголовному и административному преследованию.

Так же как и на государственном уровне, управление информационной безопасностью на уровне предприятий направлено на нейтрализацию различных видов угроз:

• внешних, таких как неправомерные действия государственных органов (в том числе и зарубежных), противоправная деятельность преступников и преступных группировок, незаконные действия компаний-конкурентов и других хозяйствующих субъектов, недобросовестные действия компаний-партнеров, несоответствие действующей нормативно-правовой базы фактическому развитию технологий и общественных отношений, сбои и нарушения в работе глобальных информационных и телекоммуникационных систем и информационных систем компаний-партнеров (контрагентов) и др.;
• внутренних, таких как ошибки и халатность персонала предприятия, а также намеренно допускаемые нарушения, сбои и нарушения в работе собственных информационных систем и др.

Таким образом, управление информационной безопасностью на каждом отдельном предприятии должно осуществляться в контексте его общей хозяйственной деятельности: с учетом характера деятельности компании (технологии производства, специфики рынков сбыта и т.п.), а также фактически складывающейся ситуации в рыночной конкурентной борьбе, государственной политике, развития правовой и правоохранительной системы, уровня развития отдельных используемых информационных и телекоммуникационных технологий и других факторов, формирующих общие условия текущей деятельности.

Формальным основанием (предпосылкой) для осуществления целенаправленной деятельности в сфере защиты информации, помимо общегосударственных требований к защите информации, составляющей государственную, военную, врачебную и банковскую тайну, также является перечень сведений, составляющих коммерческую тайну предприятия, который определяется предприятием самостоятельно с учетом требований действующего законодательства.

Кроме того, необходимость разработки и внедрения политики информационной безопасности может быть обусловлена такими обстоятельствами, как:

• необходимость уменьшения стоимости страхования информационных рисков или определенных бизнес-рисков;
• необходимость внедрения международных стандартов, таких как ISO 17799 или BS 7799.

увеличить изображение
Рис. 7.1. Предпосылки разработки политики безопасности предприятия

Общая структура управленческой работы по обеспечению информационной безопасности на уровне предприятия

Для нейтрализации существующих угроз и обеспечения информационной безопасности предприятия организуют систему менеджмента в сфере информационной безопасности, в рамках которой (системы) проводят работу по нескольким направлениям:

• формирование и практическая реализация комплексной многоуровневой политики информационной безопасности предприятия и системы внутренних требований, норм и правил;
• организация департамента (службы, отдела) информационной безопасности;
• разработка системы мер и действий на случай возникновения непредвиденных ситуаций ("Управление инцидентами");
• проведение аудитов (комплексных проверок) состояния информационной безопасности на предприятии.

увеличить изображение
Рис. 7.2. Структура организационной деятельности в сфере информационной безопасности на предприятии

Каждое из этих направлений организационной работы имеет свои особенности и должно реализовываться с использованием специфических методов менеджмента и в соответствии со своими правилами. Политики и правила информационной безопасности являются организационными документами, регулирующими деятельность всей организации или отдельных подразделений (категорий сотрудников) в части обращения с информационными системами и информационными потоками. Департамент информационной безопасности является узко специализированным подразделением, решающим специфические вопросы защиты информации. Система мер по реагированию на инциденты обеспечивает готовность всей организации (включая Департамент информационной безопасности) к осмысленным целенаправленным действиям в случае каких-либо происшествий, связанных с информационной безопасностью. Проведение внутренних аудитов информационной безопасности (периодических или связанных с определенными событиями) должно обеспечить контроль за текущим состоянием системы мер по защите информации и, в частности, независимую проверку соответствия реального положения дел установленным правилам и требованиям.

При этом каждое из направлений деятельности должно постоянно совершенствоваться по мере развития организации, а конкретные задачи должны постоянно уточняться в соответствии с изменением в организационной структуре, производственных процессах или внешней среде. Так, например, если предприятие начинает выпуск продукции военного назначения параллельно с выпуском гражданской продукции, то это может потребовать изменений всех основных направлений организационной работы в сфере обеспечения информационной безопасности:

• корректировки стратегии и основных положений политики информационной безопасности (на всех ее уровнях);
• изменения организационной структуры и функциональных задач департамента информационной безопасности;
• совершенствования системы реагирования на инциденты;
• использование более совершенных методик проведения аудитов информационной безопасности.