Для построения системы информационной безопасности необходимо прочное основание – путеводитель, который поможет избежать ошибок, оценить полноту и надежность системы информационной безопасности.

Как уже упоминалось в статье Информационная безопасность. Вид снаружи и внутри., в Украине создано множество нормативных документов по информационной безопасности. Может обратить свой взор на них? Если система информационной безопасности создается для государственных органов, то здесь деваться некуда – требования всех этих документов там обязательны к исполнению. Ежели система информационной безопасности создается для частного бизнеса, то есть несколько весомых причин, почему бы я настоятельно рекомендовал этого не делать:

1. Требования национальных украинских документов по информационной безопасности даже по отношению к конфиденциальной информации, которая не составляет государственную тайну, очень высоки. Не обдумав этот момент можно воскликнуть: «Так ведь это прекрасно!». Но это верно только при варианте, когда защита информации – это все, а рентабельность бизнеса – ничто. Выполнение всех национальных украинских требований к информационной безопасности во-первых очень сильно (и практически всегда необоснованно) увеличит бюджет, расходуемый на информационную безопасность, во-вторых очень сильно затруднит выполнение бизнес-процессов и тем самым станет препятствием к достижению основной цели бизнеса – получению прибыли.

2. Требования национальных украинских документов по информационной безопасности зачастую неполны и противоречивы. Это вызвано их большим количеством, несгрупированностью, несвоевременным их пересмотром.

3. Требования национальных украинских документов по информационной безопасности зачастую устаревшие и неактуальные.

4. Требования национальных украинских документов по информационной безопасности ориентированы в первую очередь на государственные структуры и практически не учитывают реалий бизнеса. Из личного опыта известно, что изначально требования и образцы документов по информационной безопасности рождаются в спецслужбах, откуда потом переписываются с незначительными изменениями другими государственными министерствами и ведомствами. Получаются практически одинаковые требования как для Службы безопасности Украины, так и для, например, Министерства статистики. А кто в бизнесе даст построить «полицейское государство»?

Так чем же тогда пользоваться? Я думаю, хоть это и звучит  непатриотично, нужно обратиться к международному опыту. И это будет, естественно, семейство международных стандартов ISO 27000. На конец 2008 года приняты следующие стандарты информационной безопасности этого семейства:

- ISO/IEC 27001:2005 Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования

- ISO/IEC 27002:2005 Информационные технологии. Методы обеспечения безопасности. Практические правила управления информационной безопасностью (ранее ISO/IEC 17799:2005).

- ISO/IEC 27005:2008 Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.

- ISO/IEC 27006:2007 Информационные технологии. Методы обеспечения безопасности. Требования к органам аудита и сертификации систем управления информационной безопасностью.

Первые два можно найти в интернете даже на русском языке. Россия, в отличии от Украины, приняла стандарт ISO/IEC 27002:2005  на государственном уровне – ГОСТ Р ИСО\МЭК 17799-2005 (правда мне больше нравится перевод с английского, чем вариант российского стандарта).

Последние два – скорее всего нет. Но для практической работы  последний стандарт не особо нужно.

Что касается отсутствия в свободном доступе стандарта по управлению рисками, то я бы рекомендовал ознакомиться с майкрософтофским «Руководством по управлению рисками безопасности», который доступен в интернете на русском, и «Управлением рисками организаций»  COSO (более предпочтителен первый документ, второй более общий и тяжелее читается).

Главным же путеводителем в создании системы информационной безопасности должен стать ISO/IEC 27002:2005. Это должна быть настольная книжка любого специалиста по информационной безопасности. Просматривая свой опыт работы по информационной безопасности, я не нахожу ни одного вопроса, который не был бы изложен в этом стандарте.

Кто в наше время не слышал об информационной безопасности?

Слышали наверное все от домохозяек до топ-менеджеров ведущих компаний. Если кто-то поспорит о «домохозяйках», спросите Вашу жену или дочку, когда у них последний раз угоняли аккаунт от «Контактов» или «Одноклассников». Но весь вопрос в том, насколько разниться понимание информационной безопасности у домохозяйки, жертвующей в худшем случае аккаунтом из социальной сети или приобретая тормозящий компьютер, зараженный вредоносным программным обеспечением по  и топ-менеджера, неправильное решение которого может стоить жизни компании с тысячами сотрудников.

Так вот, хочется сказать, что немало топ-менеджеров не ушли в своем восприятии вопросов информационной безопасности дальше домохозяек. Возьмем простой пример: у кого в компании на рабочем компьютере есть административные права? Правильный ответ – у IT и топ-менеджмента. И если есть надежда, что у IT хвати ума не работать под административными правами, то про топов этого не скажешь.

Почему возникла такая ситуация?

Вопрос в том, что как отдельное направление в бизнесе, информационная безопасность оформилась совсем недавно, а на Украине вообще только-только. Толчок к этому дало бешеное развитие информационных технологий, которые бизнес впитывал, как губка. Но вместе с теми преимуществами, которые несет в себе IT в бизнес вошли и все угрозы, которые порождаются использованием информационных технологий. И если прибыли от преимуществ для всех явны из финансовых отчетов, то чтобы оценить угрозы и ущерб от них, необходимо проводить всесторонний анализ рисков. А это, в отличии от финансов и больших цифр прибыли, понимает далеко не каждый руководитель.

Что вкладывает среднестатистический человек в понятие информационная безопасность?

Во-первых, он не отличает информационную безопасность от IT-безопасности. То есть считает, что сфера информационной безопасности не простирается дальше компьютеров. Во-вторых, если его конкретнее расспросить, что же он все таки понимает под информационной безопасностью, то можно скорее всего услышать следующее:

- это противодействие вирусам;

- это охрана от разглашения коммерческих и других секретов;

- это защита от хакеров, которые могут сейчас залезть в любой компьютер и взломать что угодно.

И очень мало кто представляет, что значит информационная безопасность в самом деле.

Основной задачей информационной безопасности является соблюдение трех основных свойств информации – конфиденциальности, целостности и доступности. И если первое понятно практически всем, то два последних для многих не несут смысловой нагрузки.

Целостность информации – это такое ее свойство, которое состоит в том, что информация не может быть изменена (сюда входит и удалена) неуполномоченным на то  субъектом (это может быть и человек, и компьютерная программа, и аппаратная часть компьютера, и любое другое воздействие типа сильного магнитного излучения, наводнения или пожара) . Для многих будет открытие, что под вопросы информационной безопасности попадает случай, когда жена стерла Вашу любимую игрушку. Или если Вы ее случайно стерли сами. А если Вы потеряли флешку со скачанными с интернета фотографиями? Или неправильно поставили дату в важном деловом письме? Все это – целостность информации.

Доступность информации – это такое ее свойство, которое позволяет субъекту, который имеет на это право, получить информацию в виде, необходимой субъекту, в месте, которое нужно субъекту, и во время, нужное для субъекта.  Так вот, это случаи, когда Вы пришли в железнодорожную кассу или в магазин, или в банк, а вам говорят, что в ближайшие пол-часа Вас обслужить не могут, потому что висит «Экспресс», «1С», клиент-банк… Список можно продолжать. Или когда у вас пропадает интернет, Вы звоните провайдеру, а он начинает Вам рассказывать про воров, укравших свич и кусок кабеля, или про недавнюю грозу. Так вот – все эти товарищи экономят на информационной безопасности и не обеспечивают должного уровня доступности информации. Это же можно сказать и про Microsoft, когда вспоминаешь песню про «зависшую винду».

Вы уже приблизительно увидели, с чем приходиться сталкиваться информационной безопасности. Но это только маленькая верхушка огромного айсберга.

Как Вы думаете, должен ли специалист по информационной безопасности разбираться в юриспруденции?  «Зачем попу гармонь»,- скажете Вы и опять не угадаете. Изучение и составление нормативных документов – одна из важных аспектов работы информационной безопасности. А кто, по вашему будет собирать доказательства в компании, где произошло преступление, связанное с информацией. Милиция? Вы большой оптимист, если думаете, что там надеться хотя бы один специалист,  который сможет посмотреть журнал аудита Windows и найти там что-то для себя понятное. А Вы знаете, сколько на Украине создано законодательных актов и других государственных нормативных документов по информационной безопасности? Боюсь, Вашего книжного шкафа не хватит. А если взять еще нормативные документы по отдельным ведомствам? Потянет на небольшую библиотеку.

А должен ли специалист по информационной безопасности разбираться в кадровой работе? Конечно должен. В функции информационной безопасности входит определение требований при приеме на работу, мониторинг перемещения сотрудников, принятие мер при увольнении сотрудника и т.д.

А должен ли   специалист по информационной безопасности иметь педагогические навыки? А кто по Вашему, будет вносить в головы как рядовых сотрудников так и топ-менеджмента, азы информационной безопасности? Ведь без неукоснительного соблюдения правил  информационной безопасности все файерволы, маршрутизаторы, системы шифрования и контроль доступа – просто лишняя трата денег.

А еще информационная безопасность тесно пересекается с такими направлениями, как служба безопасности, охрана, деловодство, внутренний аудит, аналитика бизнес-процессов, хозяйственное обеспечение и многими другими направлениями, о которых Вы даже не могли подумать.

Такой вот большой существует сегодня разрыв между пониманием информационной безопасности средним человеком, и теми реальными задачами, с которыми приходиться сталкиваться при организации информационной безопасности в бизнесе.