Рекомендации по применению. Система управления информационной безопасностью. Общие положения (часть 7)

Принципы ‎управления

Интегрируйте‏ ‎информационную ‎безопасность ‎в ‎бизнес-процессы ‎компании

Информационная‏ ‎безопасность ‎представляет‏ ‎собой‏ ‎сквозную ‎(интегральную) ‎функцию,‏ ‎которая ‎должна‏ ‎быть ‎введена ‎во ‎все‏ ‎процессы‏ ‎и ‎проекты‏ ‎компании, ‎связанные‏ ‎с ‎обработкой ‎информации. ‎Данное ‎требование‏ ‎обусловлено‏ ‎ключевой ‎ролью‏ ‎информации ‎в‏ ‎современных ‎компаниях ‎и ‎необходимостью ‎обеспечения‏ ‎её‏ ‎надлежащей‏ ‎защиты.

В ‎частности,‏ ‎в ‎рамках‏ ‎управления ‎проектами‏ ‎уже‏ ‎на ‎этапе‏ ‎планирования ‎следует ‎оценивать ‎потребности ‎в‏ ‎защите ‎информации,‏ ‎которая‏ ‎будет ‎генерироваться ‎и‏ ‎обрабатываться ‎в‏ ‎ходе ‎реализации ‎проекта. ‎Результаты‏ ‎данной‏ ‎оценки ‎должны‏ ‎служить ‎основой‏ ‎для ‎планирования ‎и ‎внедрения ‎соответствующих‏ ‎мер‏ ‎защиты.

Аналогичным ‎образом,‏ ‎процессы ‎управления‏ ‎инцидентами ‎в ‎ИТ-среде ‎должны ‎быть‏ ‎тесно‏ ‎взаимоувязаны‏ ‎с ‎управлением‏ ‎инцидентами ‎по‏ ‎информационной ‎безопасности.‏ ‎Это‏ ‎позволит ‎обеспечить‏ ‎своевременное ‎выявление, ‎реагирование ‎и ‎устранение‏ ‎сбоев, ‎затрагивающих‏ ‎информационную‏ ‎безопасность ‎в ‎компании.

Таким‏ ‎образом, ‎эффективность‏ ‎системы ‎управления ‎информационной ‎безопасностью‏ ‎компании‏ ‎во ‎многом‏ ‎зависит ‎от‏ ‎уровня ‎интеграции ‎данной ‎функции ‎в‏ ‎ключевые‏ ‎управленческие ‎процессы.‏ ‎Отсутствие ‎или‏ ‎недостаточная ‎интегрированность ‎информационной ‎безопасности ‎может‏ ‎значительно‏ ‎снижать‏ ‎её ‎нужность‏ ‎для ‎защиты‏ ‎компании ‎от‏ ‎угроз‏ ‎в ‎области‏ ‎информационной ‎безопасности.

Достижимые ‎цели

Проекты ‎часто ‎терпят‏ ‎неудачу ‎из-за‏ ‎нереалистичных‏ ‎или ‎слишком ‎амбициозных‏ ‎целевых ‎показателей.‏ ‎Это ‎не ‎является ‎исключением‏ ‎и‏ ‎в ‎сфере‏ ‎информационной ‎безопасности.‏ ‎Для ‎достижения ‎адекватной ‎цели ‎информационной‏ ‎безопасности‏ ‎зачастую ‎более‏ ‎эффективными ‎могут‏ ‎быть ‎многочисленные ‎небольшие ‎шаги ‎и‏ ‎долгосрочный,‏ ‎непрерывный‏ ‎процесс ‎улучшения‏ ‎без ‎значительных‏ ‎первоначальных ‎инвестиционных‏ ‎затрат,‏ ‎нежели ‎масштабный‏ ‎проект.

Так, ‎может ‎быть ‎целесообразным ‎в‏ ‎первую ‎очередь‏ ‎внедрять‏ ‎необходимый ‎уровень ‎ЗИВОП‏ ‎только ‎в‏ ‎выбранных ‎направлениях ‎мер ‎защиты,‏ ‎применяя‏ ‎базовые ‎меры‏ ‎защиты, ‎и‏ ‎сосредотачиваться ‎на ‎достижении ‎уровня ‎зрелости‏ ‎для‏ ‎каждой ‎из‏ ‎них. ‎Такой‏ ‎поэтапный, ‎эволюционный ‎подход ‎позволяет ‎достичь‏ ‎требуемого‏ ‎уровня‏ ‎ЗИВОП ‎без‏ ‎чрезмерных ‎ресурсных‏ ‎затрат ‎на‏ ‎старте,‏ ‎одновременно ‎обеспечивая‏ ‎постепенное ‎наращивание ‎защитных ‎мер ‎и,‏ ‎соответственно, ‎рост‏ ‎уровня‏ ‎ЗИВОП. ‎В ‎отличие‏ ‎от ‎рискованных‏ ‎крупномасштабных ‎проектов, ‎данная ‎тактика‏ ‎является‏ ‎более ‎обоснованной‏ ‎и ‎управляемой.

Экономический‏ ‎эффект

Одной ‎из ‎наиболее ‎сложных ‎задач‏ ‎в‏ ‎сфере ‎управления‏ ‎информационной ‎безопасностью‏ ‎является ‎оптимальное ‎распределение ‎ограниченных ‎ресурсов‏ ‎(они‏ ‎ВСЕГДА‏ ‎ограничены) ‎между‏ ‎различными ‎защитными‏ ‎мероприятиями ‎с‏ ‎учётом‏ ‎их ‎эффективности‏ ‎и ‎соотношения ‎с ‎возможными ‎рисками.

Наиболее‏ ‎рациональным ‎подходом‏ ‎является‏ ‎приоритизация ‎выделения ‎ресурсов‏ ‎в ‎те‏ ‎меры, ‎которые ‎демонстрируют ‎наибольшую‏ ‎результативность‏ ‎либо ‎предотвращают‏ ‎наиболее ‎критически‏ ‎важные ‎риски. ‎При ‎этом ‎следует‏ ‎отметить,‏ ‎что ‎самые‏ ‎действенные ‎решения‏ ‎не ‎всегда ‎являются ‎и ‎наиболее‏ ‎затратными.

Фундаментальное‏ ‎значение‏ ‎в ‎данном‏ ‎контексте ‎приобретает‏ ‎глубокое ‎понимание‏ ‎зависимости‏ ‎ключевых ‎бизнес-процессов‏ ‎и ‎функциональных ‎задач ‎компании ‎от‏ ‎информационно-технологической ‎инфраструктуры.‏ ‎Это‏ ‎знание ‎позволяет ‎выстраивать‏ ‎сбалансированную ‎систему‏ ‎обеспечения ‎информационной ‎безопасности.

Эффективная ‎реализация‏ ‎мер‏ ‎защиты ‎предполагает‏ ‎комплексный ‎подход,‏ ‎включающий ‎как ‎технические, ‎так ‎и‏ ‎организационные,‏ ‎режимные ‎меры.‏ ‎Инвестиции ‎в‏ ‎технические ‎средства ‎защиты ‎требуют ‎прямых‏ ‎финансовых‏ ‎затрат,‏ ‎которые ‎могут‏ ‎быть ‎оправданы‏ ‎только ‎при‏ ‎условии‏ ‎максимально ‎эффективного‏ ‎использования ‎данных ‎решений, ‎их ‎интеграции‏ ‎в ‎целостную‏ ‎систему‏ ‎безопасности ‎и ‎обеспечения‏ ‎соответствующего ‎уровня‏ ‎подготовки ‎персонала. ‎В ‎свою‏ ‎очередь,‏ ‎организационные ‎и‏ ‎режимные ‎меры‏ ‎могут ‎выступать ‎в ‎качестве ‎альтернативы‏ ‎или‏ ‎дополнения ‎к‏ ‎техническим ‎решениям,‏ ‎однако ‎их ‎последовательное ‎внедрение ‎сопряжено‏ ‎со‏ ‎значительными‏ ‎управленческими ‎и‏ ‎ресурсными ‎сложностями,‏ ‎и ‎частым‏ ‎отторжением‏ ‎их ‎персоналом‏ ‎без ‎соответствующих ‎разъяснений ‎об ‎их‏ ‎внедрении ‎со‏ ‎стороны‏ ‎руководящего ‎звена ‎компании.

Будьте‏ ‎примером

Высшее ‎руководство‏ ‎компании ‎также ‎должно ‎выполнять‏ ‎функцию‏ ‎эталона ‎в‏ ‎сфере ‎информационной‏ ‎безопасности. ‎Данное ‎требование ‎включает ‎в‏ ‎себя,‏ ‎помимо ‎прочего,‏ ‎соблюдение ‎руководящим‏ ‎звеном ‎всех ‎установленных ‎норм ‎и‏ ‎правил‏ ‎информационной‏ ‎безопасности, ‎участие‏ ‎в ‎образовательных‏ ‎мероприятиях, ‎а‏ ‎также‏ ‎оказание ‎поддержки‏ ‎другим ‎руководителям ‎в ‎осуществлении ‎ими‏ ‎своей ‎эталонной‏ ‎роли.

Первостепенно,‏ ‎чтобы ‎высшее ‎руководство‏ ‎компании ‎служило‏ ‎образцом ‎в ‎вопросах ‎информационной‏ ‎безопасности.‏ ‎Им ‎необходимо‏ ‎не ‎только‏ ‎придерживаться ‎всех ‎предписанных ‎регламентов, ‎но‏ ‎и‏ ‎лично ‎вовлекаться‏ ‎в ‎тренинги‏ ‎и ‎обучающие ‎программы, ‎а ‎также‏ ‎содействовать‏ ‎другим‏ ‎управленцам ‎в‏ ‎надлежащем ‎выполнении‏ ‎аналогичных ‎обязанностей.‏ ‎Лишь‏ ‎при ‎таком‏ ‎условии ‎руководство ‎компании ‎сможет ‎эффективно‏ ‎культивировать ‎культуру‏ ‎информационной‏ ‎безопасности ‎во ‎всей‏ ‎своей ‎организационной‏ ‎структуре.

В ‎компании ‎должен ‎работать‏ ‎принцип:‏ ‎делаешь ‎ты,‏ ‎делают ‎другие.‏ ‎Если ‎ты ‎не ‎делаешь, ‎то‏ ‎и‏ ‎с ‎других‏ ‎не ‎можешь‏ ‎спрашивать.

Необходимо ‎осознавать, ‎что ‎руководство ‎компании‏ ‎является‏ ‎маяком‏ ‎и ‎целью‏ ‎в ‎поведении‏ ‎для ‎сотрудников.‏ ‎Если‏ ‎руководство ‎не‏ ‎исполняет ‎требования ‎по ‎информационной ‎безопасности,‏ ‎значит ‎и‏ ‎сотрудники‏ ‎их ‎не ‎будут‏ ‎исполнять. ‎А‏ ‎следовательно ‎сколько ‎бы ‎ресурсов,‏ ‎включая‏ ‎финансовых, ‎в‏ ‎информационною ‎безопасность‏ ‎не ‎было ‎бы ‎вложено, ‎эффекта‏ ‎от‏ ‎них ‎не‏ ‎будет ‎никакого.

Внимание!‏ ‎Материал ‎охраняется ‎авторским ‎правом ‎на‏ ‎основании‏ ‎статьи‏ ‎1259 ‎ГК‏ ‎РФ.