На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера

№ 2 март-апрель 2009 г.
Тема номера:
СИСТЕМЫ МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ


АНТИКРИЗИСНЫЕ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

С. А. Петренко, CISO, А. В. Обухов


Предыдущая статьяСледующая статья

Перед большинством директоров служб автоматизации (CIO) и информационной безопасности (CISO) российских компаний в последние месяцы в полный рост встает проблема надлежащей корректировки политики информационной безопасности компании в условиях экономического кризиса. Попробуем помочь им в ее решении.

Постановка задачи

Согласно RFC 2196, под политикой информационной безопасности компании понимается «формальное изложение правил поведения лиц, получающих доступ к конфиденциальным данным в корпоративной информационной системе». При этом различают некоторую общую стратегическую составляющую политики безопасности (основные принципы, цели и задачи), взаимоувязанную со стратегиями развития бизнеса и информационных технологий, и набор частных правил безопасности, детально описывающих тактические приемы безопасной работы с информационными активами. В российской терминологии документ, определяющий стратегию, часто называют концепцией безопасности, а документы, определяющие тактику – политиками безопасности. На Западе принято создавать единые документы, включающие в себя стратегию и тактику обеспечения информационной безопасности на основе рекомендаций, главным образом, международного стандарта BS ISO/IEC 27001:2005 BS 7799-2:2005 Information technology – Security techniques – Information security management systems – Requirements и соответствующего руководства ISO 27002 Toolkit policy templates.

В соответствии с рекомендациями ведущих международных стандартов в области планирования и управления информационной безопасностью (ИБ) BS ISO/IEC 27001:2005 BS 7799-2:2005, ISO/IEC 0181-7:1996, ISO/IEC TR 13335, ISO/IEC TR 15443, ISO/IEC 15288:2002, ISO/IEC 20000, BSI, COBIT 4.1, ITIL V3, ГОСТ Р ИСО/МЭК 15408-2002, каждая политика безопасности должна содержать следующие позиции:

  • предмет политики безопасности, включая, оценку и ранжирование информационных рисков, определение основных целей и задач политики безопасности, а также возможных способов решения поставленных задач;
  • условия применения политики безопасности и возможные ограничения;
  • описание позиции руководящего состава компании в отношении выполнения им правил безопасности;
  • роли безопасности, в том числе, права, обязанности и ответственность сотрудников за выполнение правил безопасности;
  • порядок действия в чрезвычайных ситуациях в случае возникновения инцидентов безопасности и непредвиденного нарушения правил безопасности;
  • порядок утверждения и пересмотра политики безопасности;
  • порядок ее доведения, обучения и контроля знаний правил безопасности сотрудниками компании.

Антикризисное управление безопасностью

Корректировка политик безопасности, предпринимаемая в условиях кризиса – это, в действительности, создание согласованной системы взглядов топ-менеджмента компании на вопросы защиты информации в условиях:

  • нехватки кредитных средств на развитие;
  • пересмотра долгосрочных вложений в акции;
  • остановки проектов с высоким риском;
  • ориентации на проекты с быстрой отдачей;
  • сокращения персонала ИТ-, и ИБ-служб;
  • экономии и снижения операционных и капитальных затрат.

На этом фоне актуальны следующие задачи:

  • анализ эффективности направлений, подразделений и сотрудников;
  • адекватное перераспределение бюджетных средств;
  • усиление средств анализа и управления;
  • усиление финансового контроля;
  • защита от воровства.

В связи с этим, прежде всего, следует пересмотреть правила безопасности на предмет их экономической целесообразности и соответствия текущей экономической ситуации. Более того, с целью надлежащего финансового контроля рекомендуется разработать и использовать на практике метрическую систему взаимоувязанных измеримых показателей безопасности компании. При этом принятие оптимального решения должно в идеальном случае базироваться на комбинации качественных и количественных показателей. Здесь основной принцип – приведение всех показателей к определенным измеримым величинам в соответствии с известным положением «нельзя эффективно управлять тем, что не может быть измерено». Сам выбор шкал величин может варьироваться: для качественных показателей, в частности, пригодны различные виды нечеткой шкалы, основанные на экспертных оценках.

< ... >


 

Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»


Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        (812) 347-74-12, (921) 958-25-50


Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

 

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2013 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

Rambler's Top100