Формирование системы информационной безопасности в медиа-холдинге

Величко Е.В.
выпускник группы CISO-03
Школы IT менеджмента
РАНХиГС при Президенте РФ

В настоящее время информационная безопасность де-факто является неотъемлемой частью любого сколько-нибудь серьезного бизнеса. Дискуссии на тему: «что это такое и зачем нам это надо» - уходят в прошлое. На вооружение пришли международные стандарты, постепенно совершенствуется национальное законодательство в данной сфере, в различных отраслях экономики уже приняты или принимаются свои стандарты по информационной безопасности. Лидером в этом начинании стал кредитно-финансовый сектор под патронажем Центробанка, далее топливно-энергетический комплекс, связь и телекоммуникации и другие.

Тем не менее, несмотря на значительный рост актуальности темы информационной безопасности в нашей стране за последние 10-15 лет, и в настоящее время встречаются частные компании, где данному направлению не уделяется должное внимание. Вызвано это может быть различными причинами, самой банальной из которых является отсутствие соответствующего структурного подразделения или отдельного сотрудника, который смог бы донести до руководства связь между вопросами информационной безопасности и финансовыми, репутационными и иными рисками для организации.

Целью настоящей работы является систематизация процедур, методов и практик по организации процесса информационной безопасности в частной компании для снижения рисков ее информационным активам, повышения прозрачности и эффективности бизнес- процессов, а также повышения устойчивости и безопасности бизнеса в целом.

Основными задачами данной работы являются применение лучших мировых практик в сфере информационной безопасности в качестве основы для формирования системы информационной безопасности в медиа-холдинге, а также использование норм законодательства в качестве аргумента при формировании бюджета по ИБ.

Объектом исследования является крупнейший негосударственный медиа-холдинг, имеющий в списке своих активов несколько национальных радиовещательных сетей, известные радиостанции, музыкальный телеканал и собственное рекламное агентство.

Некоторое время назад медиа-холдинг вошел в состав другого (родительского) холдинга. Это обстоятельство повлекло за собой наложение дополнительных требований по исполнению корпоративных стандартов, правил и процедур, в том числе, и по информационной безопасности.
Практическая значимость данной работы обусловлена отсутствием системного подхода к вопросам обеспечения информационной безопасности в медиа-холдинге, в то время как Стратегия развития родительского холдинга предусматривает соблюдение всеми предприятиями корпоративных стандартов, где особое место занимают вопросы обеспечения информационной безопасности всех предприятий холдинга и необходимость выполнения требований регуляторов в данной сфере.

Проект состоит из трех основных частей:

В первой – рассматриваются теоретические основы обеспечения информационной безопасности, проводится обзор законодательства, стандартов и общепринятых практик в данной сфере.

Во второй – описывается структура медиа-холдинга, проводится оценка текущего уровня его информационной безопасности, рассматривается предыстория вопроса, намечаются пути достижения целевых показателей по информационной безопасности.

В третьей части рассматриваются алгоритм и принципы формирования системы информационной безопасности, порядок адаптации корпоративных стандартов для их применения в медиа-холдинге учетом его структурных особенностей и отраслевой специфики, разбираются дополнительные меры повышения прозрачности некоторых ключевых бизнес-процессов с концентрацией внимания на их безопасности.
В рамках реализации проекта были достигнуты значительные результаты:

• удалось заручиться поддержкой руководства, вовлечь в процесс формирования системы информационной безопасности руководителей высшего и среднего звена, наладить горизонтальные взаимоотношения с ключевыми соратниками: ИТ, HR, юристы;
• проведена оценка текущего уровня информационной безопасности, диагностика уязвимостей информационной системы, реализованы первоочередные меры по снижению рисков для информационных активов;
• проведено категорирование всех информационных ресурсов компании, определены допустимые места их хранения, порядок использования и передачи, регламентирован порядок предоставления прав доступа в информационную систему;
• все учетные системы описаны, корпоративные требования по обеспечению их безопасности выполняются, контрольные проверки проводятся;
• мероприятия по защите интеллектуальной собственности и коммерческой тайны выполняются в соответствии с требованиями законодательства и корпоративными стандартами;
• мероприятия по обеспечению конфиденциальности персональных данных осуществляются в соответствие с утвержденным календарным планом;
• подготовлен к реализации процесс обеспечения кадровой безопасности;
• формирование системы информационной безопасности документируется, разработан трехуровневый пакет документов, программа повышения осведомленности находится в разработке.

В целом можно отметить, что поставленные цели были достигнуты, основные задачи решены, дальнейшие мероприятия, требующие дополнительные финансовые и временные ресурсы, намечены, поддержка руководства получена.