«Кто владеет информацией — тот владеет миром»
«Кто владеет информацией — тот владеет миром»
На сегодняшний день наибольшее число финансовых потерь от инцидентов, связанных с информационной безопасностью, компании несут вследствие финансового мошенничества. При этом практически не уделяется внимание безопасности непосредственно бизнес-процессов и поддерживающих их приложений.
Роль информационной безопасности
Не секрет, что деятельность любой коммерческой организации направлена в первую очередь на получение прибыли. На достижении этой основной цели сфокусированы основные бизнес-процессы организации (например, производство, продажи, логистика). Также существует ряд поддерживающих процессов, к которым относятся, в том числе, информационные технологии и информационная безопасность (ИБ), направленные на обеспечение инфраструктуры для функционирования основных процессов. Логично предположить, что руководство практически любой организации заинтересовано в том, чтобы процессы внутри организации были подконтрольны, функционировали так, как были задуманы, а количество ошибок или злонамеренных действий со стороны сотрудников организации, бизнес-партнеров, а также других сторон, вовлеченных в бизнес-процессы организации, было минимальным.
Роль, которую играют меры и средства информационной безопасности в процессе внутреннего контроля, нельзя недооценивать. Например, такие аспекты, как разграничение полномочий в информационных системах в соответствии с должностными обязанностями пользователей этих систем, функциональность, не позволяющая совершать определенные транзакции (например, превышающие определенный лимит) без утверждения ответственных лиц, проверка целостности данных при передаче между системами и прочие подобные средства контроля, напрямую относятся к информационной безопасности, поскольку непосредственно влияют на обеспечение конфиденциальности, целостности и доступности данных в рамках бизнес-процессов компании.
Безопасность бизнес-процессов
Достаточно давно ведутся разговоры о связи ИТ и бизнеса, существуют соответствующие стандарты и методологии, определяющие соответствие между целями бизнеса и целями ИТ, дающие конкретные рекомендации по управлению ИТ, предоставляющие соответствующие метрики.
Однако когда речь заходит об информационной безопасности, подобная связь бизнес-целей компаний с соответствующими мерами и средствами в данной области не столь очевидна, что подтверждается результатами различных исследований. Особенно остро эта проблема наблюдается среди специалистов, непосредственно отвечающих за обеспечение информационной безопасности в организациях. Порой можно наблюдать ситуацию, когда подразделение информационной безопасности компании живет своей жизнью, отдельной от деятельности организации в целом, занимаясь, например, исключительно защитой сетевого периметра и не обращая внимание на безопасность бизнес-приложений, используемых в компании.
Какие же цели бизнеса могут на деле служить движущими факторами информационной безопасности?
Таких целей может быть три:
- повышение управляемости бизнес-процессов за счет внедрения средств внутреннего контроля;
- обеспечение соответствия деятельности организации применимому законодательству;
- обеспечение непрерывности бизнеса и восстановления после сбоев за счет повышения надежности и восстанавливаемости ИТ.
Непрерывность бизнеса:
Другой насущной проблемой для организаций в настоящее время является обеспечение непрерывности бизнеса. Так как вовлечение организаций в электронный бизнес все больше возрастает, а в некоторых отраслях, например в банковской и телекоммуникационной, ведение бизнеса без использования ИТ вообще не представляется возможным, потери даже от незначительных простоев могут быть катастрофическими.
В целом задача обеспечения непрерывности бизнеса - комплексная, которая должна инициироваться непосредственно самим бизнесом и включать в себя многие составляющие, зачастую не имеющие отношения к ИТ и ИБ. Однако многие вопросы, рассматриваемые в рамках данной дисциплины, являются прямой обязанностью службы ИБ, в частности:
- классификация данных и информационных систем;
- определение требований к процессам резервного копирования и восстановления данных;
- управление доступностью систем;
- управление инцидентами.
При этом важно отметить, что внедрение технических мер не способно закрыть все вопросы, связанные с непрерывностью бизнеса и восстановлением после сбоев. Необходима тщательная проработка организационных мер, связанных с действиями в кризисных ситуациях, формированием команд восстановления, введением альтернативных процедур функционирования бизнес-процессов, внутренними и внешними коммуникациями и т.д.
Весь процесс планирования непрерывности бизнеса должен быть основан на анализе рисков, учитывать требования бизнеса к восстановлению тех или иных систем и данных.
Как показывает практика, в настоящее время зачастую весь процесс отдается на откуп службе ИТ или ИБ, которая может не иметь полномочий для того, чтобы влиять на бизнес в вопросах обеспечения непрерывности, в результате чего может происходить перекос в сторону технических решений, т.е. возникать ситуация, когда ИТ-инфраструктура компании готова к сбоям и прерываниям, а сам бизнес не готов.
Адекватная оценка
Для достижения целей по обеспечению безопасности бизнес-процессов, защиты информации и непрерывности бизнеса, был разработан международный стандарт ISO/IEC 27001:2005. Преимущества, которые получают организации при внедрении системы управления информационной безопасности (СУИБ) и сертификации по стандарту ISO/IEC 27001:2005 заключаются не столько в том, чтобы показать сертификат партнерам, инвесторам и другим заинтересованным сторонам, сколько в том, чтобы построить эффективную инфраструктуру для поддержки бизнес-процессов, которая была бы направлена на минимизацию количества сбоев, ошибок и злонамеренных действий и при этом являлась бы подконтрольной. В качестве же ориентира или путевой карты при построении такой инфраструктуры и имеет смысл использовать, например, различные стандарты, методологии и модели.
На сегодняшний день количество сертификатов систем управления информационной безопасностью в соответствии ISO/IEC 27001 в мире превышает 3,5 тыс., и их число постоянно увеличивается. Казахстан не стала исключением в этом процессе, крупные компании проявляют большой интерес к ISO/IEC 27001. Многие компании внедряют СУИБ и хотят получить сертификат.
Инициатива внедрения СУИБ на основе ISO/IEC 27001
Инициатива создания и эффективного функционирования системы должна исходить от руководства компании - это гарантирует четкое выполнение всех процедур сотрудниками компании и аккуратное отношение к процессу. В отсутствие поддержки руководства компании функционирование СУИБ будет сложно или почти невозможно поддерживать, так как в данном процессе требуется постоянное взаимодействие различных подразделений, а это один отдел информационной безопасности (ИБ) организовать не сможет.
Подытоживая вышесказанное, хотелось бы подчеркнуть следующие основные идеи:
Информационная безопасность, хотя и является вспомогательным процессом, но при этом представляет собой важную составляющую надежности операционной деятельности компаний.
Как и другими процессами, информационной безопасностью необходимо управлять. При построении системы управления желательно опираться на опыт, изложенный в общепринятых моделях, методологиях и стандартах.
Стремление к соответствию международным стандартам в области информационной безопасности в первую очередь должно быть нацелено на улучшение внутренних процессов компании.
Информационная безопасность в Алматы
Источник: intercert.kz