10 смертных грехов управления информационной безопасностью

Basie von Solms, Rossouw von Solms

Источник:http://student-support2.ouc.ac.cy/~marina.gavrilaki/d/english/Management/The%2010%20deadly%20sins.pdf

Перевод:Хамидуллина Екатерина Дмитриевна

Аннотация

Эта статья определяет 10 основных аспектов, которые, если не будут приняты во внимание в плане управления информационной безопасностью, несомненно, вызовут провал плана, или, по крайней мере, серьезные недостатки в плане. Эти 10 аспектов могут быть использованы руководством в качестве контрольного перечня для обеспечения определения и внедрения комплексного плана.

КЛЮЧЕВЫЕ СЛОВА: информационная безопасность; управление информационной безопасностью; руководство информационной безопасности; политика информационной безопасности; анализ рисков информационной безопасности; требования информационной безопасности

Введение

Эта статья основана на многолетнем опыте преподавания информационной безопасности для широкой аудитории, а также на консалтинговых проектах по информационной безопасности многих предприятий. В статье определены 10 наиболее важных аспектов, которые называются «смертные грехи информационной безопасности», которые приводят компании к серьезным проблемам в реализации успешных комплексных планов по защите информации в компании.

Все 10 из этих аспектов необходимо принимать во внимание при внедрении такого плана информационной безопасности в компании, или оценивать, когда возникают проблемы с эффективностью существующего плана.

Опыт показывает, что если хотя бы один из этих аспектов игнорируется или не учитывается надлежащим образом, то, безусловно, возникают серьезные проблемы в области внедрения и поддержания надлежащего плана информационной безопасности в компании.

В статье кратко рассматривается каждый из этих аспектов или грехов, информируя тем самым о том, почему их отсутствие в любом плане вызывает проблемы, связанные с информационной безопасностью.

В конце статьи есть список, который могут использовать менеджеры информационной безопасности для оценки наличия / отсутствия этих аспектов в планах информационной безопасности.

10 смертных грехов информационной безопасности

Эти грехи представлены ниже, и обсуждаются индивидуально в последующих пунктах.

1. Непонимание того, что информационная безопасность является ответственностью управления корпорации (последняя инстанция на самом верху)
2. Непонимание того, что информационная безопасность является вопросом бизнеса, а не техническим вопросом
3. Непонимание того, что управление информационной безопасностью является многомерной дисциплиной (управление информационной безопасностью – сложный вопрос, и здесь нет решений по типу «серебряной пули» или «с потолка»)
4. Непонимание того, что план информационной безопасности должен быть основан на идентифицированных рисках
5. Непонимание важности международного передового опыта в области управления информационной безопасностью
6. Непонимание того, что политика корпоративной информационной безопасности является абсолютно необходимым
7. Непонимание того, что принуждение и мониторинг соблюдения информационной безопасности является абсолютно необходимым
8. Непонимание того, что надлежащее управление информационной безопасностью структуры (организации) является абсолютно необходимым
9. Непонимание важности осведомленности в области информационной безопасности среди пользователей
10. Отказ от предоставления менеджерам информационной безопасности надлежащей инфраструктуры, инструментов и механизмов для надлежащего выполнения своих обязанностей

Грех №1: Непонимание того, что информационная безопасность является ответственностью управления корпорации (последняя инстанция на самом верху)

Осознание того, что управление информационной безопасностью является важнейшей и неотъемлемой частью корпоративного управления выросла в частности, в последние несколько лет. Движущей силой стал ряд документов о корпоративном управлении, которые появились в последнее время, например, второй доклад Кинга II в Южной Африке (King) и Контроль Задач информации и сопряженных технологий ISACA (COBIT).

Также появились другие документы, которые подчеркивают эту интеграцию информационной безопасности в корпоративное управление, например (von Solms, 2001).

Эти документы были поддержаны растущим набором законов и правовых требований, которые появились на международном уровне, в частности, связанные с частной жизнью клиентов, пациентов и данных о пациенте. Некоторые примеры таких законов и правовых требований: закон «ECT Act in SA (ECT)» и HIPAA (HIPAA) в США.

Смысл этих разработок в том, что совет директоров, также как и топ–менеджеры, имеют прямую корпоративную ответственность по обеспечению того, что все информационные активы компании находятся в безопасности, и что с должным вниманием и должной осмотрительностью были приняты для поддержания такой безопасности. Информационные активы компании, которые находятся под угрозой, могу иметь серьезные финансовые и правовые последствия для компании, а в некоторых случаях исполнительный директор может нести и личную ответственность.

Кроме того, исполнительная дирекция несет ответственность за содержательный отчет о защите информационных активов перед советом директоров.

Последствия совершения этого греха: исполнительная дирекция не проявляет должного внимания и осмотрительности, ожидаемую от нее, и может подставить себя под серьезную личную и корпоративную ответственность.

Грех №2: непонимание того, что информационная безопасность является вопросом бизнеса, а не техническим вопросом.

Этот грех тесно связан с тем, который обсуждался выше, но он выделен в отдельный пункт, потому что он позволяет взглянуть на данный аспект проблемы с другой стороны. Проблемы, связанные с информационной безопасностью в компании, не могут быть решены только техническими средствами. Чем раньше руководство компании поймет этот факт, тем скорее они смогут заняться вопросом информационной безопасности с должным вниманием.

К сожалению, во многих случаях, исполнительное руководство в компании по–прежнему считает, что технологии – это все, что требуется, следовательно, поручают этот вопрос на рассмотрение технических отделов, и сами забывают об этом.

Без правильной, прямой и постоянной поддержки исполнительного руководства, или, если оно не будет выступать в качестве примера осведомленности и сознательности в информационной безопасности, проблема информационной безопасности не получит должного внимания.

Последствия совершения этого греха: технологии будут брошены на информационную безопасность, но не принесут комплексного решения. Это может привести к потере прибыли.

Грех №3: непонимание того, что управление информационной безопасностью является многомерной дисциплиной

Этот грех снова тесно связан с тем, который обсуждался выше, но он достаточно значим, чтобы выделить его в отдельный пункт.

Информационная безопасность является многомерной дисциплиной, и все ее аспекты должны быть приняты во внимание, чтобы обеспечить надлежащую и безопасную среду для информационных активов компании.

Аспекты информационной безопасности легко идентифицировать – некоторые прямо из опубликованной литературы, другие косвенно из разговора с менеджерами информационной безопасности. Список аспектов, представленный ниже, не обязательно полон, потому что динамичный характер информационной безопасности предотвращает любое такое разграничение. Некоторые аспекты могут перекрываться с точки зрения их содержания. Тем не менее, число и точное содержание аспектов не являются самыми важными факторами, так как важно то, что существуют различные аспекты и что они должны сообща содействовать безопасной среде.

Следующие аспекты могут быть идентифицированы без особого труда:

1. Аспекты корпоративного управления
2. Организационные аспекты
3. Аспекты политики
4. Аспекты лучших практик
5. Этический аспект
6. Аспект сертификации
7. Правовые аспекты
8. Аспекты страхования
9. Аспекты персонала/человеческий аспекты
10. Аспекты осведомленности
11. Технические аспекты
12. Аспекты измерения / метрики (мониторинг соответствия / ИТ–аудит в режиме реального времени)
13. Аспекты аудита

Из этого списка видно, что большинство из этих аспектов не технического характера, что приводит нас к греху, который обсуждался ранее.

Все эти аспекты должны быть приняты во внимание при проектировании и создании комплексного плана информационной безопасности для компании, потому что ни один аспект, или продукт, или инструмент сам по себе не обеспечит надлежащее полное решение.

Последствия от совершения этого греха: будет принято одностороннее решение в вопросе информационной безопасности, что приведет к разочарованию, так как другие аспекты должны будут постоянно добавляться в решение.

Грех №4: непонимание того, что план информационной безопасности должен быть основан на идентифицированных рисках

Целью информационной безопасности является обеспечение мер по снижению рисков, связанных с информационными ресурсами компании. Однако, если компания не очень ясно видит потенциальные угрозы, а также, какие именно активы они защищают, то это в общем случае тоже самое, что стрельба в темноте, т.е. трата денег с целью защитить себя от угроз, которые имеют очень низкую вероятность возникновения, и игнорирование других, которые могут иметь очень большое влияние, в случае их появления.

Поэтому очень важно, чтобы компания строила свой план информационной безопасности на каком–либо типе анализа рисков. Это может быть очень формальным, структурированным и комплексным анализом, или анализом более высокого уровня, ориентированный на сочетание с передовой международной практикой. Авторы, на основе опыта, предпочитают последний подход.

Тем не менее, какой бы подход не был принят, должна появиться возможность мотивации выполнения всех возможных действий и предложенных контрмер, так как выбор той или иной формы анализа рисков зависит от самой компании.

Последствия совершения этого греха: компании могут тратить деньги на риски, которые не являются очень опасными, игнорируя другие, которые могут быть чрезвычайно серьезными.

Грех №5: непонимание важности международного передового опыта в области управления информационной безопасностью

Типичные вопросы, на которые хочет и должен ответить менеджер информационной безопасности включают в себя:

1. Против каких рисков должны быть защищены информационные ресурсы?
2. Какой набор контрмер обеспечит наилучшую защиту от этих рисков?

Эти вопросы очень важны, и должны быть отвечены, в противном случае компания будет тратить деньги на ненужные или неэффективные контрмеры.

Лучшие практики международного опыта политики информационной безопасности базируются на концепции «обучение на основе чужого успешного опыта в области информационной безопасности». Идея состоит в том, что большой процент из угроз информационной безопасности, а также отдельных контрмер одинаковы для всех компаний. Если большое количество компаний задокументировали свой опыт работы в этой области, наряду с контрмерами, которые они выбрали для возможных рисков, почему бы всестороннему анализу рисков не прийти к тому же результату?

1. Зачем повторять то, что другие уже сделали?
2. Зачем изобретать велосипед в давно изученном вопросе?
3. Изучите и примените чужой опыт!

Именно это значит «использовать лучшие практики».