Возможность применимости различных стандартов и практик по информационной безопасности

Губанок А.М.
Выпускник группы MBA - 40
Школа IT-менеджмента
РАНХиГС при Президенте РФ

В рамках развития любого бизнеса основными векторами, безусловно, являются первоочередное развитие и выработка правильной бизнес-стратегии. Также немаловажным фактором является эффективность управления, которая  во многом зависит от корректного решения задач оперативного и качественного реагирования.

Во многом при выборе стратегии развития любой компании вопросы, связанные с комплексным подходом к обеспечению информационной безопасности выходят, как правило, на второстепенный план. В этом случае «защита» бизнеса как правило состоит из «лоскутов», которые применяются по мере необходимости, и как правило не всегда являются типовыми, а чаще «уникальными» в виде доработок чьих-то решений.

Тем не менее, в правовой области требования по обеспечению защиты информации, будь то персональные данные, защита служебной информации или иная информация, требующая защиты в соответствии с Законодательством требует выполнения указанных мероприятий. Неисполнение может быть как неожиданным неприятным «сюрпризом» для компании, и решения, которые потребуются на устранение замечаний потребуют как дополнительных финансовых средств так и дополнительного времени.  

Особенно актуально задачи по обеспечению информационной безопасности встали перед предприятиями, которые унаследовали ранние методы и средства для обеспечения служебной информации. Перейдя на коммерческие «рельсы» данные компании по прежнему руководствуются либо классическими методами обеспечения защиты информации, либо же пытаются применить современные стандарты и лучшие практики. В итоге соответствовать и тому и другому подчас не получается.

Таким образом, в своей работе я постарался отразить возможность применения различных стандартов, практик и подходов, которые можно применить для обеспечения комплексной информационной безопасности предприятия. Данные методы позволяют достаточно объективно посмотреть на безопасность не со стороны интегратора, а со стороны владельца/управленца бизнеса. Описание применения данных методов приведено именно на языке бизнеса, с учетом необходимых терминологий. Единственными условиями для их применения является зрелость компании и прямые интересы собственников бизнеса/управляющего.

В работе речь пойдет о случае, когда компания самостоятельно заинтересована в защите совей информации и своих активов, когда речь идет не о «волшебной коробке ИБ под ключ», а создании и внедрении самого процесса управления безопасностью. При этом в работе помимо исключительно положительных моментов от внедрения таких процессов указаны и возможные трудности при их реализации, которые могут привести как к усложнению внедряемых процессов, так и невозможность реализации их в первопоставленном варианте.

В настоящее время на рынке представлено значительное количество отечественных и зарубежных средств, на базе которых можно создавать Службу управления информационной безопасностью (СУИБ) в организации, заметно отличающихся по стоимости и функциональным возможностям.

Для выбора подхода и модели СУИБ, наиболее полно отвечающей требованиям, необходимо провести анализ существующих методов и составить итоговую ведомость для принятия окончательного решения.

Процесс СУИБ включает: создание политик, документов, их обработку, передачу, хранение, обработку и конфиденциальность информации, циркулирующей в компании, работу средств и систем защиты, а также организационно штатные мероприятия.

Сформулированы следующие общие требования безопасности информации и систем, обрабатывающих защищаемую информацию:

1.Интеграция с другими автоматизированными системами и базами данных;

2.Защита информации от несанкционированного доступа;

3.Защита информационных систем от потенциальных угроз и нарушителей (создание модели угроз и нарушителей)

4.Необходимая и обязательная классификация защищаемой информации и предполагаемые методы ее защиты.

5.Возможность одновременного использования электронных и бумажных документов;

6.Возможность работы с мобильными (удаленными) пользователями и группами пользователей;

7.Приемлемость по цене при поставке, внедрении и сопровождении.

8.Возможность доработки систем СУИБ в разумные сроки (с приемлемыми ценовыми условиями) под специфику компании.

Проведен информационно – аналитический обзор уже существующих аналогов для выбора наиболее подходящей СУИБ, которая станет основой для разработки новой системы с учетом специфики деятельности Компании.