Автор: Алексей Черненков, специалист информационной безопасности ОАО "Технобанк".

Нужна ли она, эта информационная безопасность?
Если взять формально, то практически каждый скажет: "конечно", но если посмотреть глубже, то стоит задуматься о многом... Что хотят защищать, на чем стоит заострить внимание, а что "отпустить на свободу", где реальные риски, а где их искусственное создание? — на эти вопросы ответить будет очень непросто.

По моему, информационная безопасность (ИБ) — это и "друг", и "враг" в одном лице, как и для бизнеса, так и самих сотрудников. В обычное, "мирное" время ее не любят, а, порой, и ненавидят, но когда наступает час "Х", о ней сразу вспоминают и радуются, что она есть.

Тенденции и мотивы создания отделов или служб информационной безопасности в организациях весьма разнообразны:

• это "модно", и этим можно "похвастаться"... лишь бы отдел ИБ не мешал работать;

• для того, чтобы при проверке можно было показать, что "у нас за этим следят, у нас все надежно";

• необходимо довести компанию до нужных стандартов, чтобы получить допуск к определенным активам и ресурсам рынка;

• кто-то играет в политические игры внутри организации, и с помощью данной службы расширяет контроль и сферу своего влияния;

• кто-то старается хорошо заработать на данном подразделении, как при работе внутри организации, так и при участии в закупках различных систем;

• кто-то строит карьеру в этом направлении и убеждает начальство о необходимости в создании данной структуры;

• и все же кто-то понимает, что для них это действительно нужно, и, может, прямо сейчас это мало что даст, но довольно скоро ситуация начнет меняться;

• другие варианты.

По сути, стоит задуматься о создании службы информационной безопасности тогда, когда вы начинаете понимать, а лучше "предчувствовать" риски в ИБ до их наступления. Конечно, во многом это зависит от масштабов организации: для кого-то узким и опасным местом будет база клиентов, а для кого-то это будет утечка информации о будущих сделках и операциях и т.д. Тут возникает вопрос о выставлении приоритетов, но о вопросах чуть позже…

Сама идея создания службы информационной безопасности не имеет практического смысла без понимания следующий моментов:

• Как и на сколько служба ИБ изменит структуру и принципы работы организации?

• Эта служба не приносит деньги, она направлена на "их защиту".

• ИБ стоит уделять внимание: не только прислушиваться к ее рекомендациям, но применять их в работе организации.

Итак, на какие же вопросы желательно ответить перед тем, как заняться созданием службы?

• Есть ли у вас в организации что-нибудь ценное в направлении ИБ, если да, то что?

• Готовы ли вы переменам в организации, связанным с внедрением ИБ, если да, то хотите ли вы их?

• Готовы ли вкладывать время и средства в развитие ИБ?


Рассмотрим два наиболее распространенных варианта создания службы информационной безопасности

1. Отдел создается в работающем бизнесе.

Тут достается всем. В первую очередь, самому отделу информационной безопасности. Ему надо будет сделать следующее:

• Провести быстрый осмотр организации и определить явные пробелы в ИБ, чтобы направить на них внимание в первую очередь. К примеру, самое простое – это установлен ли на компьютерах антивирус?

• Создать всю нормативную базу ИБ. При этом "перелопатить" существующую нормативную документацию организации, которая хоть как-то связана с ИБ.

• "Достать всех", вопросами о проблемах, "дырах", о принципах работающих систем и т. д.

• "Совать нос во все щели", в поисках "узких", слабых и не защищенных мест, которые важны для бизнеса.

• И, самое тяжелое, — согласовать и внедрить политику ИБ.

Для организации внезапное появление отдела ИБ — это "головная боль", так он будет усложнять рабочий процесс и, тем самым, добавлять дискомфорт в работе. При этом будет задавать множество вопросов, на которые придется отвечать. Немаловажен психологический аспект: то, что появилась служба ИБ, у многих сотрудников, особенно не добропорядочных, вызовет сомнения в их работе и заставит задуматься о нарушении элементарных мер безопасности.

2. Отдел организуется при создании организации.

Здесь ситуация проще, чем описана выше, но стоит рассмотреть, как минимум, два аспекта:

• С одной стороны, отдел информационной безопасности может и должен основательно подготовиться: написать все необходимые инструкции, принимать участие в формировании нормативной базы стартовой культуры безопасности. Последнее весьма актуально, так как пользователи с самого начала будут привыкать к присутствию ИБ в жизни организации и будут относиться к ней органично.

• С другой стороны — бизнес-процесс. Очевидно, что собственники компании будут стараться максимально быстро запустить систему в работу, а отдел ИБ будет этот процесс тормозить. Как? Все просто: при согласовании проектов от построения здания и оснащения его систем безопасности до внедрения различных рабочих документов, даже частично связанных с ИБ, отдел будет все проверять на соответствие стандартов, параметров и политик ИБ. Хорошо или это или нет, — я бы так вопрос не ставил, скорее это стоит принять как норму, так как чем тщательнее сделает свою работу ИБ, тем меньше рисков возникнет в будущем.

Очевидно, что отдел ИБ необходимо подчинить высшему руководству (директору). Причина тому проста: при нахождении каких-либо нарушений или "дыр" в системе, многие захотят их скрыть, или сделать так, чтобы высшее руководство о них не заметило или не узнало вовсе... К тому же, в этом случае при создании и внедрении различных политик безопасности потребуется намного меньше времени на их согласование и подписание.

Не стоит забывать о том, что начальник отдела ИБ отвечает за построение системы, поиск уязвимых мест, поиск возможных и эффективных решений в возникших вопросах ИБ. Но, как ни крути, принятие решения, "стоит ли игра свеч", лежит на плечах руководства, ведь всю ответственность за риски в организации несет оно.


Кадровый состав службы информационной безопасности

Это еще один очень важный момент. На первый взгляд, это все решаемо, но какой ценой? Захотите ли вы показывать чужому человеку "грязное белье" вашей организации? При таких вопросах появляется головная боль, если не у вас, то у того, кому поручили подбор кадров. Если есть свой человек, которому вы можете доверять и не сомневаться в его верности вам, то проблем нет, но если такого человека нет? На его поиски может уйти немало средств и времени, особенно если вы только создаете организацию.

Если же у вас уже работающий бизнес, то многие ТОП-менеджеры поступают просто: подбирают человека среди сотрудников, а потом занимаются его переподготовкой. В этом есть свое преимущество:

• во-первых, вы уже знаете этого человека;
• во вторых, вы видели, как он работает и на что он способен;
• в третьих, с ним знакома сама организация, и не будет воспринимать его как "врага народа".

Но тут же есть и недостаток: это "эффект притупленного взгляда" на организацию. Если человек не гибкий и не сможет перестроиться на новый формат обзора, то его эффективность будет неполноценна, а зачастую попросту низка. К примеру, из-за любви к отделу, в котором работал, он будет прощать им их "проколы".

В целом стоит рассматривать все варианты, которые могут сделать вашу систему надежней.


Дополнение

Стандарты, которые можно использовать при создании службы ИБ:

1. Международные: ISO27000, ISO27001, ISO27002, ISO27003, ISO17799.
2. Российские: GOST17799-2005, GOST R_27001-2006
3. Американский стандарт NIST

Можно также воспользоваться следующими ссылками: Special Publications (800 Series), SP 800-100