Необходимость создания политики безопасности

Главная | Необходимость ПБ | Затраты ПБ | Стандарты ПБ | Анализ ИБ | Прогаммные ср-ва проверки на стандарт | Аудит | Методы аудита | Стандарты аудита | Примеры систем аудита

Главная

Необходимость создания политики безопасности

Как обосновать затраты на информационную безопасность?

Нормативная база анализа защищенности информационных технологий

Методика анализа защищенности информационных технологий

Программные средства проверки политики безопасности на соответствие требованиям ISO 17799

Протоколирование и аудит

Методы проведения активного аудита

Стандарты в области активного аудита

Примеры систем активного аудита

Исследования показывают, что компании, разработавшие политику безопасности для своих нужд, приводят следующие причины, побудившие их совершить этот шаг:

1. Требования руководства

Как правило, руководство проявляет внимание к проблемам информационной безопасности под воздействием «фактора страха» или после нескольких серьезных инцидентов, повлекших за собой остановку или замедление работы компании в результате вирусных атак или атак типа «отказ в обслуживании», разглашение конфиденциальной информации или кражу компьютеров.

2. Требования законодательства и отраслевых стандартов
Политика информационной безопасности позволяет определить правила, в соответствие с которыми информация будет отнесена к категории коммерческой или служебной тайны. Это позволит компании юридически защитить информацию (статья 139 Гражданского Кодекса). В зависимости от сферы действия компании, она должна выполнять требования существующего законодательства применимые к ее отрасли. Например, банки, в соответствии со статьей 857 Гражданского Кодекса должны гарантировать защиту банковской тайны клиентов.

3. Требования клиентов и партнеров
Если клиенты и партнеры компании хотят гарантий того, что их конфиденциальная информация защищена надлежащим образом, они могут потребовать юридического подтверждения данного факта в контрактах. Доказательством этого и является политика информационной безопасности. Поскольку политика отражает философию и стратегию управления, это — четкое и бесспорное доказательство намерений компании относительно качества информационной безопасности. Что интересно, партнеров и клиентов, как правило, интересуют именно эти «намерения», а не технические средства, которыми они могут быть достигнуты.

4. Необходимость сертификации по стандартам качества
Сертификация по общепризнанным стандартам (например, ISO 9001 или ISO 17799) подтверждает необходимый уровень обеспечения информационной безопасности для защиты информации и бизнес-процессов. В настоящее время фокус создания продуктов и услуг смещается в страны с дешевой рабочей силой, где особенно важным доказательств адекватной защиты передаваемой заказчиком информации является сертификация на соответствие требованиям стандартов по информационной безопасности.

5. Требования аудиторов
Любая внешняя аудиторская проверка обращает внимание на необходимость формализации всех бизнес-процессов, в том числе особое внимание уделяется наличию политики информационной безопасности.

6. Обеспечение конкурентного преимущества за счет оптимизации бизнес-процессов
Правильно разработанная и реализованная политика безопасности позволяет уменьшить время недоступности сервисов, вызванной компьютерными инцидентами, и, таким образом, увеличить производительность компании.

7. Уменьшение стоимости страхования
Страхование — важная составляющая управления информационными рисками. Наличие политики информационной безопасности является необходимым и обязательным условием страхования. В России уже появились фирмы предлагающие страховать информационные риски — «Ингосстрах» и «РОСНО». Стоимость страхования компания определяет путем проведения аудита информационной безопасности независимой компанией, специализирующейся в этой области.

8. Экономическая целесообразность
Политика безопасности является самым дешевым и одновременно самым эффективным средством обеспечения информационной безопасности. По мнению экспертов, оптимальная доля усилий, направленных на разработку политики безопасности, составляет от 60% до 80%.

Сопоставление стоимости и эффективности средств обеспечения информационной безопасности

Источник: Delloitte&Touche

9. Положительная бизнес-практика
Наличие политики информационной безопасности является правилом хорошего тона. В опросе, проведенном в Великобритании компанией PriceWaterHouseCoopers в 2002 году, 67% компаний назвали именно эту причину основным мотивом создания политики информационной безопасности.

Даже такие технологичные компании как Cisco заявляют, что правильно сформулированная политика информационной безопасности лучше технических средств обеспечения информационной безопасности. Подход Cisco к проблемам создания защищенной инфраструктуры показывает, что именно политика информационной безопасности (Corporate Security Policy) является краеугольным камнем безопасности, вокруг которого строится вся система обеспечения безопасности.

Система обеспечения информационной безопасности

Источник: Cisco

Политика является необходимым элементом построения эффективной системы обеспечения информационной безопасности. Ее главное предназначение — защита сотрудников и информационных активов компании. Политика минимизирует влияние «человеческого фактора» и недостатки существующих технологий, позволяет вовлечь сотрудников в процесс обеспечения информационной безопасности, является эффективным и дешевым решением создания культуры безопасности в компании.

Мировой опыт

Деятельность любой компании напрямую связана с различного рода рисками. Риски, связанные с недостаточным обеспечением информационной безопасности, занимают уже 6 место среди всех рисков, которым подвергается современная компания. Проблемы обеспечения информационной безопасности, согласно исследованиям компании Gartner Group, уже сейчас являются приоритетом номер 1 для ИТ-директоров, и будут оставаться таковыми до 2006 года.

Проблемы обеспечения информационной безопасности

Источник: Gartner

По мнению экспертов, проблемы информационной безопасности не могут быть решены при помощи одного лишь развития технологий. Согласно исследованию, проведенному Институтом компьютерной безопасности США в 2002 году из $450 млн. потерянных компаниями из-за инцидентов в области информационной безопасности, больше $350 млн. убытков приходятся на проблему так называемого «человеческого фактора». Это убытки обусловлены следующими категориями инцидентов:

  • кража конфиденциальной информации;
  • саботаж;
  • неавторизованный доступ к ресурсам внутренних сотрудников;
  • неразрешенное использование интернета;
  • сканирование и взлом систем.

Именно эти проблемы и призвана решить разработка адекватной политики информационной безопасности.

(Источник информации: www.cnews.ru

Сергей Петренко, Владимир Курбатов)

Вернуться назад

Сайт создан в системе uCoz