Безопасность - не просто формальная проблема

Джулия Аллен

Перевод с английского: Линенко А.Е.

Источник: Proc. 2003 Winter Simulation Conf., New Orleans, LA, 2003.
https://buildsecurityin.us-cert.gov/bsi/articles/best-practices/management/563-BSI.html

Краткий обзор

   В статье рассматривается интересы управления предприятием в сфере безопасности. Описываются способы и особенности осуществления управления на верхних уровнях с помощью индикаторов осознания безопасности и эффективности работы системы.

ВВЕДЕНИЕ

  Времена безопасности как формального аспекта деятельности предприятия прошли. В современном мире проблема безопасности составляет главный интерес для руководителей высших уровней множества организаций и правительств даже за пределами их государства. Клиенты требуют от предприятия защиты персональной информации, в связи с увеличением числа случаев её похищения. Бизнес-партнеры, поставщики и производители запрашивают эту информацию друг у друга, особенно посредством организации общих информационных сетей доступа. Все более распространенными становятся попытки украсть информацию из сети с целью вымогательства. Нарушения безопасности и утечка информации чаще всего мотивированы интересами материальной выгоды. Бывшие и нынешние сотрудники и подрядчики, которые имеют доступ к системе их организации и сети, а также знакомы с внутренними распорядками, процедурами и технологиями, могут вступать использовать эти знания для собственной выгоды и даже вступать в сговор с внешними недоброжелателями. В качестве злоумышленных действий со стороны инсайдеров рассматривают саботаж, мошенничество, кражу конфиденциальной и личной информации, что представляет собой потенциальную угрозу для нвсущной инфраструктуры страны. Недавно CERT (Компьютерная группа реагирования на чрезвычайные ситуации, Computer Emergency Response Team) нашла задокументированные случаи успешного инсайдерства со времен появления программного обеспечения. По данным IT Governance Institute:« … ожидается, что управляющие сделают информационную безопасность неотъемлемой частью управления предприятия и тесно свяжут её с другими процессами, обеспечивающими безопасность интересов и ресурсов организации». В конечном счете, директора и управляющие вводят инструкции, делающие безопасность предприятия (в том числе и информационную) приемлемой, приоритетной, требующей управления и реализации. Так выглядит руководство в действии.

  В качестве дополнительного доказательства этой растущей тенденции рассмотрим основные положения Мирового Исследования Безопасности (Делойт 2007). Информационная безопасность больше не является проблемой технологий. Она стала основой для выживания бизнеса также как и другие аспекты. Опросы показывают, что более чем 81% респондентов – что намного больше, чем показывали исследования прошлых лет – считают что проблема безопасности возросла до высшего уровня, как вопрос вызывающий особую озабоченность. Управление информационной безопасностью это фундамент, основанный на нормах, ответственности и условиях, которые поощряют желаемое поведение в области применения и использования технологий. Результаты опроса показали, что 81% респондентов имеют определенную структуру управления информационной безопасностью (например определенные обязанности, нормы, условия), в то время как 18% находятся на стадии её разработки. Согласно Безопасности Зданий в соответствии с Моделью Зрелости: «Руководители и менеджеры среднего звена, включая собственников и продуктовых менеджеров, обязаны понимать как в ближайшее время вливания в разработку безопасности и управление безопасностью повлияют на уровень доверия потребителей к продукции предприятия. Нужды бизнеса должны полностью отвечать требованиям безопаности.» Любой значительный бизнес сегодня зависит от работы программного обеспечения. Безопасность программного обеспечения сейчас является необходимостью бизнеса. Несмотря на то , что руководители уделяют все больше внимания рискам и последствиям бизнеса, связанные с недостатками управления, недавние исследования Университета Калнеги Меллон свидетельствуют о том, что все еще остается много работы. Результаты исследования подтверждают уверенность среди IT–профессионалов в том, что руководители высших звеньев не в полной мере осознают важность сфер обеспечения безопасности предприятия. Из множества опрошенных респондентов всего лишь 36% считают, что правление принимает непосредственное участие в контроле информационной безопасности. Респонденты отметили, что большинство правлений рассматривают проблемы секретности и безопасности не сосредоточены на существенной деятельности, которая могла бы защитить организацию от таких значительных рисков, таких как потеря репутации и финансовый ущерб, вытекающие из нарушения личной информации.

Управление и безопасность

  Управление подразумевает установление четких целей для руководства бизнеса, а затем следование им для осуществления и оправдания этих целей. Процесс управления происходит сверху и относится ко всем бизнес подразделениям и проектам. Правильное руководство позволяет предприятию достигать решения практически всех проблем, включая безопасность. Национальные и международные правила, относящиеся как к самим предприятиям, так и к их руководителям, требуют проявления должного внимания к безопасности. Именно здесь нужно управление. Более того, не одни предприятия являются объектом, который получит выгоду от усиления безопасности посредством ясного и содержательного управления. В конечном счете целые нации выиграют на этом. Ключевые информационные инфраструктуры в киберпространстве являются основой многих мероприятий, необходимых для ведения как внутреннего, так и международного бизнеса, работы правительства, и безопасности нации.

Определение управления безопасностью.

  Термин «управление» относительно любого предмета может иметь широкий спектр интерпретаций и определений. Для нашей статьи мы используем следующее определение управления безопасностью предприятия: Управление безопасностью предприятия – это руководство и контроль организации с целью установления и закрепления культуры безопасности в поведении предприятия; рассмотрение достаточной безопасности как неотъемлемой составляющей ведения бизнеса. В данной публикации «Руководство по информационной безопасности: Советы для менеджеров» дано более детальное определение управления безопасностью: Процесс установления и закрепления основы и поддержки структуры менеджмента и процессов достижения уверенности в том, что стратегия информационной безопасности:

  1. соответствует и обеспечивает осуществление целей бизнеса.
  2. не противоречит применяемым законам и правилам и подчиняется внутренней политике предприятия
  3. обеспечивает распределение ответственности

  Что способствует эффективному управлению рисками

  В своей статье «Внедрение структуры информационной безопасности» Джон Стивен отмечает, что: «В контексте структуры безопасности программного обеспечения предприятия, управление является компетенцией, заключающейся в безусловном риске программного обеспечения и объективном принятии решений по поводу выпуска и исправления этого программного обеспечения. Эта компетенция также включает в себя создание места в менеджменте проекта для информационных рисков наряду с интересами бюджета и планирования.» В контексте безопасности управление включает в себя концентрацию на риск–менеджменте. Управление–это выражение ответственного риск–менеджмента, а эффективный риск–менеджмент нуждается в рациональном управлении. Одним из способов управления риском является установление основ процедуры принятия решений. Это позволяет определить кто именно уполномочен принимать решения, какова сила принятых решений, и кто несет за них ответственность. Последовательность в принятии решений для предприятия в целом, единицы бизнеса, либо проекта поддерживает конфиденциальность и уменьшает риски.

Важно уделить внимание

  При отсутствии определенного вида целевой структуры руководства и способов управления и измерения уровня экономической безопасности стают актуальными некоторые вопросы. Организация может включать в себя целое предприятия, единицу бизнеса, или проект.

  1. Как организация может определить какие риски имеют наибольшее воздействие?
  2. Как организация может определить защищена ли она достаточно чтобы:
  3. обнаружить и предупредить угрозы безопасности для сохранения целостности бизнеса, кризис-менеджмента, и программы восстановления?
  4. защитить интересы собственников?
  5. выполнять условия законодательства и контроля?
  6. разрабатывать, приобретать, устанавливать, эксплуатировать и использовать программное обеспечение?
  7. обеспечивать жизнеспособность предприятия?

  Арт Ковьелло, соучредитель Корпоративной Группы Целевого Управления отмечает, что: «Ответственность за обеспечение информационной безопасности возложена на высшее руководство организации. Информационная безопасность это не только проблема технологии, но также управления.» Таким образом, руководитель и контролер корпоративной информационной безопасности (включая программное обеспечение) связан обязательством попечения перед акционерами и заинтересованными сторонами. Руководители, занимающие подобные должности в правительстве, некоммерческих и образовательных институтах подобным образом должны пересмотреть свои обязанности.

Следовать примеру.

  Проявление должного внимания к безопасности трудная задача, но руководители должны принять вызов. Их поведение и действия по отношению к безопасности должны повлиять на всю организацию. Когда работники видят как команда руководителей уделяют внимание безопасности, он понимают, что безопасность стоит их внимания и времени. Таким способом осознание безопасности растет. Кажется понятным, что совет директоров, высшее руководство, менеджеры единиц бизнеса, или проектов должны играть свою роль в создании и укреплении бизнеса для осуществления эффективного управления безопасностью предприятия. Доверие, репутация, бренд, стоимость бизнеса, удержание потребителя и увеличение операционных затрат, все находится в опасности в случае неудачной политики управления безопасностью. Организации более компетентны в использовании безопасности для уменьшения рисков, если внимание их руководителей к безопасности существенно и они осведомлены о проблемах безопасности.

Особенности эффективного управления безопасностью.

  Одной из лучших мер направления организации в сторону безопасности является установление и укрепление системы взглядов, правил поведения, возможностей и действий, которые согласуются с лучшими стандартами безопасности. Эти меры помогают построить культуру осознания безопасности. Они могут выражаться посредством заявлений о текущей деятельности и состоянии организаций.

  1. Предприятие управляет безопасностью как общей проблемой, по горизонтали, по вертикали кросс-функционально в рамках всей организации. Исполнительные директора понимают свою подотчетность и ответственность перед самим предприятием, перед заинтересованными лицами, перед обществом, которое они обслуживают, в том числе и интернет–сообщество, а также защищают основные национальные инфраструктуры и экономические интересы безопасности.
  2. Безопасность рассматривается как требование бизнеса. Затраты и инвестиции в безопасность считаются централизованно, а не исходя из бюджета отдельных единиц бизнеса. Политика безопасности устанавливается наверху предприятия с участием заинтересованных сторон. Единицы бизнеса и персонал не могут решать какой уровень безопасности устанавливать. Таким образом достигается адекватное и устойчивое финансирование и достойный уровень безопасности.
  3. Безопасность рассматривается как часть общей стратегии, состояния, проекта и операционных этапов планирования. Безопасность имеет достижимые измеримые цели, которые входят в стратегические и текущие планы и осуществляются с помощью эффективного контроля и метрики. Рассмотрение и аудит планов определяет слабые места и недостатки безопасности также как и требования по непрерывности операций её осуществления. Это позволяет измерить прогресс в отношении планов и этапов. Определение необходимого уровня безопасности определяется уровнем рисков, которым может подвергнуться предприятие.
  4. Безопасность рассматривается как часть любого нового проекта, приобретения, отношения и как часть текущего управления проектом. Требования безопасности обращены ко всем системам фаз жизненного цикла разработки программного обеспечения включая приобретение, запуск, построение и стиль, разработку, тестирование, эксплуатацию, техническое обслуживание, изъятие из пользования.
  5. Менеджеры предприятия понимают, что безопасность выступает «обеспечителем» бизнеса (а не ингибитором). Видение безопасности как одной из обязанностей позволяет понимать, что производительность команды в отношении безопасности проявляется как часть их общей производительности.
  6. Все работники, имеющие доступ к цифровому имуществу и корпоративной сети понимают свою личную ответственность в отношении защиты и обеспечения безопасности организации, включая используемые системы и программное обеспечение. Осведомленность, мотивация, соблюдение норм являются общепринятыми, поощряется культура. Постоянно применяются и усиливаются признание, поощрение, результаты, соблюдения правил в отношении безопасности.

  Руководители, стремящиеся обеспечивать безопасность на уровне управления могут пользоваться этими стандартами, чтобы установить культуру осознания безопасности в своей организации. Относительная важность каждого правила зависит от культуры организации в контексте бизнеса.

Заключение

  Большинство руководителей и менеджеров понимают управление и свои полномочия по отношению к нему. Цель здесь заключается в том, чтобы помочь руководителям расширить свои возможности внедрения безопасности и обеспечения на всем предприятии осознания решений управления и руководства. Способность предприятия достичь и упрочить соответствующий уровень безопасности начинается с поддержки и признания руководства.

Литература

  1. http://www.entrust.com/news/index.php?s=43&item=249
  2. https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
  3. http://www.americanchemistry.com/s_responsiblecare/doc.asp?CID=1298&DID=5085
  4. mailto:permission@sei.cmu.edu
  5. http://buildsecurityin.us-cert.gov/bsi/articles/best-practices/management/564-BSI.html#dsy564-BSI_wp1012103 (Governance and Management References
  6. http://buildsecurityin.us-cert.gov/bsi/articles/best-practices/deployment/574-BSI.html#dsy574-BSI_do (Plan, Do, Check, Act)
  7. http://buildsecurityin.us-cert.gov/bsi/articles/best-practices/management/564-BSI.html#dsy564-BSI_mcgraw2009 (Governance and Management References)
  8. http://www.cert.org/insider_threat